Рекомендация Debian по безопасности

DSA-1891-1 changetrack -- выполнение команды командной оболочки

Дата сообщения:
22.09.2009
Затронутые пакеты:
changetrack
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 546791.
В каталоге Mitre CVE: CVE-2009-3233.
Более подробная информация:

Марек Гржибовски обнаружил, что changetrack, программа для отслеживания изменений в файлах (настройки), уязвима к инъекции команды командной оболочки при помощи метасимволов в именах файлов. Поведение программы было откорректировано таким образом, что теперь отвергаются все имена файлов, содержащие метасимволы.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 4.3-3+etch1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 4.3-3+lenny1.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.5-2.

Рекомендуется обновить пакеты changetrack.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+etch1.diff.gz
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+etch1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3.orig.tar.gz
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+lenny1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/changetrack/changetrack_4.3-3+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.