Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2836-1 devscripts

Debians sikkerhedsbulletin

DSA-2836-1 devscripts -- udførelse af vilkårlig kode

Rapporteret den:

5. jan 2014

Berørte pakker:

devscripts

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6888, CVE-2013-7325.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i uscan, et værktøj til at scanne opstrømssteder efter nye udgaver af pakker; det indgår i pakken devscripts. En angriber, som kontrollerer et websted, hvorfra uscan prøver at hente en kildekode-tarball, kunne udføre vilkårlig kode med rettighederne hørende til brugeren, der kører uscan.

Projektet Common Vulnerabilities and Exposures har tildelt id'en CVE-2013-6888 til problemerne.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.12.6+deb7u2.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 2.13.9.

Vi anbefaler at du opgraderer dine devscripts-pakker.