Säkerhetsbulletin från Debian

DSA-2409-1 devscripts -- flera sårbarheter

Rapporterat den:
2012-02-15
Berörda paket:
devscripts
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-0210, CVE-2012-0211, CVE-2012-0212.
Ytterligare information:

Flera sårbarheter har upptäckts i debdiff, ett script som används för att jämföra två Debianpaket, som är en del av paketet devscripts. Följande ids från projektet Common Vulnerabilities and Exposures har tilldelats för att identlifiera dem:

  • CVE-2012-0210:

    Paul Wise upptäckte att på grund av otillräcklig rengöring av indata vid behandling av .dsc- och .changes-filer är det möjligt att köra godtycklig kod och avslöja systeminformation.

  • CVE-2012-0211:

    Raphael Geissert upptäckte att det är möjligt att injicera eller mofifiera argument till externa kommandon vid behandling av källkodspaket med speciellt namngivna tarbollar i topnivåmappen av .orig-tarbollen, vilket tillåter körning av godtycklig kod.

  • CVE-2012-0212:

    Raphael Geissert upptäckte att det är möjligt att injicera eller modifiera argument från externa kommandon när man skickar en speciellt namngiven fil som argument till debdiff, vilket tillåter körning av godtycklig kod.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2.10.69+squeeze2.

För uttestningsutgåvan (Wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) kommer dessa problem att rättas i version 2.11.4.

Vi rekommenderar att ni uppgraderar era devscripts-paket.