Debian セキュリティ勧告
DSA-1878-1 devscripts -- 入力のサニタイズ漏れ
- 報告日時:
- 2009-09-02
- 影響を受けるパッケージ:
- devscripts
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2009-2946.
- 詳細:
-
Raphael Geissert さんにより、devscript パッケージの一部である uscan が、 URL とヴァージョンのマングリング機能の実装で、安全でない可能性のあるソ ースから Perl コードをダウンロードして実行していることが発見されました。 uscan は新しい版のソースコードの存在をチェックするためのツールです。こ の更新はこの問題を従来との互換性を最大限に維持するため、関連する Perl オペレータを Perl インタープリタを使わずに再実装することで対処していま す。
旧安定版 (oldstable) ディストリビューション (etch) では、この問題はバー ジョン 2.9.26etch4 で修正されています。
安定版 (stable) ディストリビューション (lenny) では、この問題はバージョ ン 2.10.35lenny6 で修正されています。
不安定版 (unstable) sid ディストリビューションでは、この問題はバージョ ン 2.10.54 で修正予定です。
直ぐに devscripts パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.tar.gz
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.dsc
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.tar.gz
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.dsc
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。