Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2549-1 devscripts

Bulletin d'alerte Debian

DSA-2549-1 devscripts -- Plusieurs vulnérabilités

Date du rapport :

15 septembre 2012

Paquets concernés :

devscripts

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-2240, CVE-2012-2241, CVE-2012-2242, CVE-2012-3500.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans devscripts, un jeu de scripts pour faciliter la vie des mainteneurs de paquets Debian. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-2240:

  Raphael Geissert a découvert que dscverify ne réalise pas de validation suffisante et ne protège pas correctement les arguments des commandes externes, permettant à un attaquant distant (comme lorsque dscverify est utilisé par dget) d'exécuter du code arbitraire.

• CVE-2012-2241:

  Raphael Geissert a découvert que dget permet à un attaquant de supprimer des fichiers arbitraires lors du traitement de fichiers .dsc ou .changes contrefaits pour l'occasion, à cause d'une validation d'entrée insuffisante.

• CVE-2012-2242:

  Raphael Geissert a découvert que dget ne protège pas correctement les arguments des commandes externes lors du traitement de fichiers .dsc et .changes, permettant à un attaquant d'exécuter du code arbitraire. Ce problème est limité grâce au correctif pour CVE-2012-2241, et a déjà été corrigé dans la version 2.10.73 à cause de modifications du code, sans considération de ses implications en termes de sécurité.

• CVE-2012-3500:

  Jim Meyering, de Red Hat, a découvert que annotate-output détermine le nom des tubes nommés temporaires d'une façon qui permet à un attaquant local de le faire échouer, avec pour conséquence un déni de service.

De plus, une régression dans le code de retour de debdiff introduit dans DSA-2409-1 a été corrigé.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.10.69+squeeze4.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.12.3.

Nous vous recommandons de mettre à jour vos paquets devscripts.