Debian セキュリティ勧告

DSA-2549-1 devscripts -- 複数の脆弱性

報告日時:
2012-09-15
影響を受けるパッケージ:
devscripts
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-2240, CVE-2012-2241, CVE-2012-2242, CVE-2012-3500.
詳細:

Debian パッケージメンテナの日々を楽にするためのスクリプト一式である devscripts に複数の脆弱性が見つかりました。それらを識別するために、 Common Vulnerabilities and Exposures project id が次のように割り当てられました。

  • CVE-2012-2240:

    Raphael Geissert さんは、dscverify が十分に検査を実施しておらず、 また外部コマンドの引数を正しくエスケープしていないために、(dget によって dscverify が利用される場合に)遠隔の攻撃者が任意のコードを実行できるようにしてしまっていることを見つけました。

  • CVE-2012-2241:

    Raphael Geissert さんは、特別に細工した .dsc や .changes ファイルを dget に処理させることで、攻撃者が任意のファイルを削除させることを入力検査が不十分なために許していることを見つけました。

  • CVE-2012-2242:

    Raphael Geissert さんは、 dget が .dsc と .changes ファイルを処理する際に外部コマンドに対する引数を適切にエスケープしておらず、 攻撃者が任意のコードを実行できるようにしてしまっていることを見つけました。この問題は CVE-2012-2241 に対する修正で限定的になり、また、バージョン 2.10.73 で安全性との関わりは考慮されることなしにコードに変更が入り、解消されました。

  • CVE-2012-3500:

    Red Hat の Jim Meyering さんは、 annotate-output が一時的な名前付きパイプの名前を決めるのに、 ローカルの攻撃者がそれを中断させられるような命名方法で決めており、 サービス拒否に繋がることを見つけました。

これらに加えて、 CVE-2409-1 で紛れ込ん debdiff の終了コードが後方互換性を失った問題も解消されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバージョン 2.10.69+squeeze4 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、これらの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョン 2.12.3 で修正されています。

直ぐに devscripts パッケージをアップグレードすることを勧めます。