Debian-Sicherheitsankündigung
DSA-1394-1 reprepro -- Authentifizierungsumgehung
- Datum des Berichts:
- 23. Okt 2007
- Betroffene Pakete:
- reprepro
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 440535.
In Mitres CVE-Verzeichnis: CVE-2007-4739. - Weitere Informationen:
-
Es wurde entdeckt, dass reprepro, ein Werkzeug zum Erzeugen von Repositorys von Debian-Paketen, nur die Gültigkeit bekannter Signaturen bei der Aktualisierung von einer entfernten Seite prüft, und so Pakete mit nur unbekannten Signaturen nicht zurück weist. Dies ermöglicht es einem Angreifer, diesen Authentifizierungmechanismus zu umgehen.
Die alte Stable-Distribution (Sarge) ist von diesem Problem nicht betroffen.
Für die Stable-Distribution (Etch) wurde dieses Problem in Version 1.3.1+1-1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.2.4-1 behoben.
Wir empfehlen Ihnen, Ihr reprepro-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.dsc
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.diff.gz
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.