Debians sikkerhedsbulletin
DSA-1979-1 lintian -- flere sårbarheder
- Rapporteret den:
- 27. jan 2010
- Berørte pakker:
- lintian
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-4013, CVE-2009-4014, CVE-2009-4015.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i lintian, et program til at kontrollere Debian-pakker. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-4013: missing control files sanitation
Control-felters navne og værdier blev ikke fornuftighedskontrolleret før deres anvendelse i visse handlinger, der kunne føre til mappegennemløb.
Patch systems control-filer blev ikke fornuftighedskontrolleret før deres anvendelse i visse handlinger, der kunne føre til mappegennemløb.
En angriber kunne udnytte disse sårbarheder til at overskrive vilkårlige filer eller afsløre systemoplysninger.
- CVE-2009-4014: formatstrengssårbarheder
Flere kontrolskripter og modulet Lintian::Schedule anvendte brugerleverede inddata som del af en sprintf/printf-formatstreng.
- CVE-2009-4015: arbitrary command execution
Filnavne blev ikke indkapslet på korrekt vis, når de blev overførrt som parametre til visse komandoer, hvilket muliggjorde udførelse af andre kommandoer som pipes eller et sæt af shell-kommandoer.
I den gamle stabile distribution (etch), er disse problemer rettet i version 1.23.28+etch1.
I den stabile distribution (lenny), er disse problemer rettet i version 1.24.2.1+lenny1.
I distributionen testing (squeeze), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version 2.3.2
Vi anbefaler at du opgraderer dine lintian-pakker.
- CVE-2009-4013: missing control files sanitation
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.