Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3206-1 dulwich

Bulletin d'alerte Debian

DSA-3206-1 dulwich -- Mise à jour de sécurité

Date du rapport :

28 mars 2015

Paquets concernés :

dulwich

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 780958, Bogue 780989.
Dans le dictionnaire CVE du Mitre : CVE-2014-9706, CVE-2015-0838.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Dulwich, une implémentation en Python des formats de fichier et des protocoles utilisés par le système de contrôle de version Git. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-9706

  Dulwich permet l'écriture dans des fichiers dans .git/ lors de la vérification des arborescences de travail. Cela pourrait conduire à l'exécution de code arbitraire avec les droits de l'utilisateur exécutant une application basée sur Dulwich.

• CVE-2015-0838

  Ivan Fratric de l'équipe de sécurité de Google a découvert un dépassement de tampon dans l'implémentation en C de la fonction apply_delta(), utilisée lors de l'accès aux objets Git dans les fichiers pack. Un attaquant pourrait tirer avantage de ce défaut pour provoquer l'exécution de code arbitraire avec les droits de l'utilisateur se servant d'un serveur Git ou d'un client basé sur Dulwich.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.8.5-2+deb7u2.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.9.7-3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.10.1-1.

Nous vous recommandons de mettre à jour vos paquets dulwich.