Debian セキュリティ勧告

DSA-2409-1 devscripts -- 複数の脆弱性

報告日時:
2012-02-15
影響を受けるパッケージ:
devscripts
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-0210, CVE-2012-0211, CVE-2012-0212.
詳細:

devscripts パッケージの一部である、二つの Debian パッケージを比較するス クリプト debdiff に、複数の問題が発見されました。The Common Vulnerabilities and Exposures project はこれらの問題に以下の番号を割り 当てて識別しています。

  • CVE-2012-0210:

    Paul Wise さんにより、.dsc および .changes ファイルの処理の際に入力 のサニタイズが不十分なため、任意のコードの実行や情報の読み取り等が 可能であることが発見されました。

  • CVE-2012-0211:

    Raphael Geissert さんにより、細工したファイル名の tarball を .orig tarball のトップレベルのディレクトリに置くソースパッケージの処理の 際に、外部コマンドに対する引数の注入や変更が行えるため、任意のコー ドの実行を許すことが発見されました。

  • CVE-2012-0212:

    Raphael Geissert さんにより、debdiff の引数として細工したファイル名 を与えることにより、外部コマンドに対する引数の注入や変更が行えるた め、任意のコードの実行を許すことが発見されました。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ ージョン 2.10.69+squeeze2 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、これらの問題は 近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 2.11.4 で修正予定です。

直ぐに devscripts パッケージをアップグレードすることを勧めます。