Säkerhetsbulletin från Debian
DSA-1979-1 lintian -- flera sårbarheter
- Rapporterat den:
- 2010-01-27
- Berörda paket:
- lintian
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2009-4013, CVE-2009-4014, CVE-2009-4015.
- Ytterligare information:
-
Flera vulnerabilities har upptäckts i lintian, en Debianpaketskontrollerare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-4013: saknad städning av kontrollfiler
Namn och värden på kontrollfält städades inte innan användning i vissa operationer, vilket kunde leda till katalogtraversering.
Ändringssystems kontrollfiler städades inte innan de användes i vissa operationer, vilket kunde leda till katalogtraversering.
En angripare kunde utnyttja dessa sårbarheter för att skriva över godtyckliga filer eller avslöja systeminformation.
- CVE-2009-4014: formatsträngssårbarhet
Flera kontrollskript och modulen Lintian::Schedule använde användartillhandahållen indata som del av en formatsträng till sprintf/printf.
- CVE-2009-4015: godtycklig kommandoexekvering
Filnamn städades inte tillräckligt när de skickades som argument till vissa kommandon, vilket tillät exekvering av andra kommandon som pipor eller som en uppsättning skalkommandon.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.23.28+etch1.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.24.2.1+lenny1.
För uttestningsutgåvan (Squeeze) kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.3.2
Vi rekommenderar att ni uppgraderar era lintian-paket.
- CVE-2009-4013: saknad städning av kontrollfiler
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.