Информация по безопасности / 2015 / Информация о безопасности -- DSA-3206-1 dulwich

Рекомендация Debian по безопасности

DSA-3206-1 dulwich -- обновление безопасности

Дата сообщения:

28.03.2015

Затронутые пакеты:

dulwich

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 780958, Ошибка 780989.
В каталоге Mitre CVE: CVE-2014-9706, CVE-2015-0838.

Более подробная информация:

В Dulwich, реализации на Python форматов файлов и протоколов, используемых системой управления версиями Git, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-9706

  Было обнаружено, что Dulwich позволяет осуществлять запись в файлы в каталоге .git/ при смене рабочих деревьев проекта. Эта проблема может приводить к выполнению произвольного кода с правами пользователя, запустившего приложение на основе Dulwich.

• CVE-2015-0838

  Айван Фратрик из Google Security Team обнаружил переполнение буфера в реализации на C функции apply_delta(), используемой для получения доступа к Git-объектам в упакованных файлах. Злоумышленник может использовать данную уязвимость для выполнения произвольного кода с правами пользователя, запустившего Git-сервер или клиент на основе Dulwich.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.8.5-2+deb7u2.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.9.7-3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.10.1-1.

Рекомендуется обновить пакеты dulwich.