Рекомендация Debian по безопасности
DSA-1979-1 lintian -- многочисленные уязвимости
- Дата сообщения:
- 27.01.2010
- Затронутые пакеты:
- lintian
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2009-4013, CVE-2009-4014, CVE-2009-4015.
- Более подробная информация:
-
В lintian, утилите для проверки пакетов Debian, были обнаружены многочисленные уязвимости. Этим уязвимостям были определены следующие идентификаторы CVE:
- CVE-2009-4013: отсутствие очистки файлов control
Имена полей и значения в файлах control не очищаются до их использования в определённых операциях, что может приводить к обходу каталога.
Управляющие файлы заплат не очищаются до их использования в определённых операциях, что может приводить к обходу каталога.
Злоумышленник может использовать эти уязвимости для перезаписи произвольных файлов или раскрытия системной информации.
- CVE-2009-4014: уязвимости форматной строки
Многочисленные сценарии проверки и модуль Lintian::Schedule используют передаваемые пользователем данные в качестве части форматной строки sprintf/printf.
- CVE-2009-4015: выполнение произвольной команды
Имена файлов неправильно экранируются при передаче их в качестве аргументов определённым командам, что позволяет выполнять через каналы другие команды или наборы команд командной оболочки.
В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 1.23.28+etch1.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.24.2.1+lenny1.
В тестируемом выпуске (squeeze) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.3.2
Рекомендуется обновить пакеты lintian.
- CVE-2009-4013: отсутствие очистки файлов control
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1_all.deb
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.