Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2836-1 devscripts

Bulletin d'alerte Debian

DSA-2836-1 devscripts -- Exécution de code arbitraire

Date du rapport :

5 janvier 2014

Paquets concernés :

devscripts

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-6888, CVE-2013-7325.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans uscan, un outil, appartenant au paquet devscripts, qui parcourt les sites de développement pour de nouvelles versions de paquets. Un attaquant, contrôlant un site d'où uscan essaierait de télécharger une archive de source, pourrait exécuter du code arbitraire avec les privilèges de l'utilisateur exécutant uscan.

La référence CVE-2013-6888 du projet « Common Vulnerabilities and Exposures » (CVE) leur a été donnée pour les identifier.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.12.6+deb7u2.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.13.9.

Nous vous recommandons de mettre à jour vos paquets devscripts.