Säkerhetsbulletin från Debian

DSA-2997-1 reportbug -- säkerhetsuppdatering

Rapporterat den:
2014-08-05
Berörda paket:
reportbug
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0479.
Ytterligare information:

Jakub Wilk upptäckte en brist rörande fjärrkörning av kommandon i reportbug, ett verktyg för att rapportera fel i Debiandistributionen. En man-in-the-middle-angripare kunde sätta metatecken för skalet i versionsnumret vilket tillåter körning av godtycklig kod med samma rättigheter som användaren som kör reportbug.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 6.4.4+deb7u1.

För uttestningsutgåvan (Jessie), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.5.0+nmu1.

Vi rekommenderar att ni uppgraderar era reportbug-paket.