Debian セキュリティ勧告

DSA-1878-1 devscripts -- 入力のサニタイズ漏れ

報告日時:
2009-09-02
影響を受けるパッケージ:
devscripts
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2009-2946.
詳細:

Raphael Geissert さんにより、devscript パッケージの一部である uscan が、 URL とヴァージョンのマングリング機能の実装で、安全でない可能性のあるソ ースから Perl コードをダウンロードして実行していることが発見されました。 uscan は新しい版のソースコードの存在をチェックするためのツールです。こ の更新はこの問題を従来との互換性を最大限に維持するため、関連する Perl オペレータを Perl インタープリタを使わずに再実装することで対処していま す。

旧安定版 (oldstable) ディストリビューション (etch) では、この問題はバー ジョン 2.9.26etch4 で修正されています。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージョ ン 2.10.35lenny6 で修正されています。

不安定版 (unstable) sid ディストリビューションでは、この問題はバージョ ン 2.10.54 で修正予定です。

直ぐに devscripts パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_sparc.deb

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。