Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2997-1 reportbug

Säkerhetsbulletin från Debian

DSA-2997-1 reportbug -- säkerhetsuppdatering

Rapporterat den:

2014-08-05

Berörda paket:

reportbug

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-0479.

Ytterligare information:

Jakub Wilk upptäckte en brist rörande fjärrkörning av kommandon i reportbug, ett verktyg för att rapportera fel i Debiandistributionen. En man-in-the-middle-angripare kunde sätta metatecken för skalet i versionsnumret vilket tillåter körning av godtycklig kod med samma rättigheter som användaren som kör reportbug.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 6.4.4+deb7u1.

För uttestningsutgåvan (Jessie), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.5.0+nmu1.

Vi rekommenderar att ni uppgraderar era reportbug-paket.