Рекомендация Debian по безопасности

DSA-4489-1 patch -- обновление безопасности

Дата сообщения:
27.07.2019
Затронутые пакеты:
patch
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 932401, Ошибка 933140.
В каталоге Mitre CVE: CVE-2019-13636, CVE-2019-13638.
Более подробная информация:

Имре Рад обнаружил несколько уязвимостей в GNU patch, приводящих к введению команд командной оболочки, выходу из рабочего каталога, а также доступу и перезаписи файлов в случае обработки специально сформированных заплат.

Данное обновление включает в себя исправление регрессии, проявившейся при исправлении CVE-2018-1000156, которая возникает при применении заплаты в стиле ed (#933140).

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.7.5-1+deb9u2.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.7.6-3+deb10u1.

Рекомендуется обновить пакеты patch.

С подробным статусом поддержки безопасности patch можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/patch