Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2836-1 devscripts

Säkerhetsbulletin från Debian

DSA-2836-1 devscripts -- exekvering av godtycklig kod

Rapporterat den:

2014-01-05

Berörda paket:

devscripts

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-6888, CVE-2013-7325.

Ytterligare information:

Flera sårbarheter har upptäckts i uscan, ett verktyg för att scanna uppströmssajter för nya utgåvor av paket, som är en del av paketet devscripts. En angripare som kontrollerar en webbplats från vilken uscan försöker ladda ner en källkodstarboll kunde exekvera godtycklig kod med samma rättighter som användaren som kör uscan.

Projektet Common Vulnerabilities and Exposures har tilldelat identifieraren CVE-2013-6888 för att identifiera dessa problem.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.12.6+deb7u2.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) har dessa problem rättats i version 2.13.9.

Vi rekommenderar att ni uppgraderar era devscripts-paket.