Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3206-1 dulwich

Debians sikkerhedsbulletin

DSA-3206-1 dulwich -- sikkerhedsopdatering

Rapporteret den:

28. mar 2015

Berørte pakker:

dulwich

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 780958, Fejl 780989.
I Mitres CVE-ordbog: CVE-2014-9706, CVE-2015-0838.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i Dulwich, en Python-implementering af de filformater og protokoller, som anvendes af versionskontrolsystemet Git. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2014-9706

  Man opdagede at Dulwich tillod skrivning til filer under .git/, når arbejdstræer blev checket ud. Det kunne føre til udførelse af vilkårlig kode med rettighederne tilhørende brugeren, der kører en applikation baseret på Dulwich.

• CVE-2015-0838

  Ivan Fratric fra Google Security Team fandt et bufferoverløb i C-implementeringen af funktionen apply_delta(), som anvendes når der tilgås Git-objekter i packfiler. En angriber kunne drage nytte af fejlen til at forårsage udførelse af vilkårlig kode med rettighederne hørende til brugeren, der kører en Git-server eller -klient baseret på Dulwich.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.8.5-2+deb7u2.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 0.9.7-3.

I den ustabile distribution (sid), er disse problemer rettet i version 0.10.1-1.

Vi anbefaler at du opgraderer dine dulwich-pakker.