Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3206-1 dulwich

Säkerhetsbulletin från Debian

DSA-3206-1 dulwich -- säkerhetsuppdatering

Rapporterat den:

2015-03-28

Berörda paket:

dulwich

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 780958, Fel 780989.
I Mitres CVE-förteckning: CVE-2014-9706, CVE-2015-0838.

Ytterligare information:

Flera sårbarheter har upptäckts i Dulwich, en Pythonimplementation av filformaten och protokollen som används av versionshanteringssystemet Git. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2014-9706

  Man har upptäckt att Dulwich tillåter skrivning till filer under foldern .git/ när man checkar ut arbetsträd. Detta kan leda till körning av godtycklig kod med samma rättigheter som användaren som kör en applikation som baseras på Dulwich.

• CVE-2015-0838

  Ivan Fratric från Googles säkerhetsgrupp har upptäckt ett buffertspill i C-implementationen av funktionen apply_delta(), som används vid åtkomst till Git-objekt i packfiler. En angripare kunde utnyttja denna brist för att orsaka en körning av godtycklig kod med samma rättigheter som användaren som kör en Git-server eller klient som baseras på Dulwich.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.8.5-2+deb7u2.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 0.9.7-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.10.1-1.

Vi rekommenderar att ni uppgraderar era dulwich-paket.