Рекомендация Debian по безопасности

DSA-2409-1 devscripts -- несколько уязвимостей

Дата сообщения:
15.02.2012
Затронутые пакеты:
devscripts
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-0210, CVE-2012-0211, CVE-2012-0212.
Более подробная информация:

В debdiff, сценарии, используемом для сравнения пакетов Debian и являющемся частью пакета devscripts, было обнаружено несколько уязвимостей. Этим уязвимостям были приписаны следующие идентификаторы проекта Common Vulnerabilities and Exposures:

  • CVE-2012-0210:

    Пол Уайс обнаружил, что из-за недостаточной очистки входных данных при обработке файлов .dsc и .changes, можно выполнить произвольный код и раскрыть системную информацию.

  • CVE-2012-0211:

    Рафаэль Гейсер обнаружил, что можно ввести или изменить аргументы внешних команд при обработке пакетов с исходным кодом со специально сформированными именами tar-архивов в каталоге верхнего уровня tar-архива .orig, что позволяет выполнять произвольный код.

  • CVE-2012-0212:

    Рафаэль Гейсер обнаружил, что можно ввести или изменить аргументы внешних команд при передаче в качестве аргумента debdiff специально сформированного файла, что позволяет выполнять произвольный код.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.10.69+squeeze2.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы будут исправлены в версии 2.11.4.

Рекомендуется обновить пакеты devscripts.