Рекомендация Debian по безопасности

DSA-1878-1 devscripts -- отсутствие очистки ввода

Дата сообщения:
02.09.2009
Затронутые пакеты:
devscripts
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2009-2946.
Более подробная информация:

Рафаэль Гайзерт обнаружил, что uscan, программа для проверки доступности новых версий исходного кода, являющаяся частью пакета devscripts, запускает код на языке Perl, загружаемый от потенциально недоверенных источников для реализации функциональности по изменению URL и версии. Данное обновление решает эту проблему путём реализации релевантных операторов Perl без участия интерпретатора Perl, пытаясь в то же время сохранить обратную совместимость насколько это возможно.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 2.9.26etch4.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.10.35lenny6.

В нестабильном выпуске (sid) эта проблема будет исправлена в версии 2.10.54.

Рекомендуется обновить пакет devscripts.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.