Информация по безопасности / 2014 / Информация о безопасности -- DSA-2836-1 devscripts

Рекомендация Debian по безопасности

DSA-2836-1 devscripts -- выполнение произвольного кода

Дата сообщения:

05.01.2014

Затронутые пакеты:

devscripts

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-6888, CVE-2013-7325.

Более подробная информация:

В uscan, инструменте для сканирования сайтов основных веток разработки на предмет новых выпусков пакетов, который является частью пакета devscripts, были обнаружены несколько уязвимостей. Атакующий, контролирующий веб-сайт, с которого uscan пытается загрузить tarball с исходным кодом может выполнить произвольный код с правами пользователя, запустившего uscan.

Этим уязвимостям был назначен идентификационный номер проекта Common Vulnerabilities and Exposures CVE-2013-6888.

В стабильном выпуске (wheezy) эти проблема были исправлены в версии 2.12.6+deb7u2.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблема были исправлены в версии 2.13.9.

Рекомендуется обновить пакеты devscripts.