Säkerhetsbulletin från Debian
DSA-1394-1 reprepro -- förbigående av autentisering
- Rapporterat den:
- 2007-10-23
- Berörda paket:
- reprepro
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 440535.
I Mitres CVE-förteckning: CVE-2007-4739. - Ytterligare information:
-
Man har upptäckt att reprepro, ett verktyg för att skapa ett arkiv med Debianpaket, endast kontrollerade korrekthet för kända signaturer när det uppdaterade från en fjärrplats, och därför inte förkastade paket som endast hade okända paket. Detta gör det möjligt för en angripare att gå förbi autentiseringsmekanismen.
Den gamla stabila utgåvan (Sarge) påverkas inte av detta problem.
För den stabila utgåvan (Etch) har detta problem rättats i version 1.3.1+1-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.2.4-1.
Vi rekommenderar att ni uppgraderar ert reprepro-paket.
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.dsc
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.diff.gz
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.