Debian DSA-2549-1:devscripts - 多种漏洞
high Nessus 插件 ID 62113
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在 devscripts 中发现多种漏洞,一组脚本可使 Debian 程序包维护人员的生活变得更轻松。已分配以下用于识别它们的通用漏洞和暴露计划 ID:- CVE-2012-2240:
Raphael Geissert 发现 dscverify 未执行充分的验证并且未正确将参数转义为外部命令,从而允许远程攻击者(在 dget 使用 dscverify 时)执行任意代码。
- CVE-2012-2241:
Raphael Geissert 发现 dget 允许攻击者在处理特别构建的 .dsc 或 .changes 文件时删除任意文件,原因是输入验证不充分。
- CVE-2012-2242:
Raphael Geissert 发现 dget 在处理 .dsc 和 .changes 文件时未正确将参数转义为外部命令,从而允许攻击者执行任意代码。此问题通过针对 CVE-2012-2241 的补丁加以限制,并且由于代码更改已在版本 2.10.73 中得到修复,而无需考虑其安全影响。
- CVE-2012-3500:
Red Hat 的 Jim Meyering 发现 annotate-output 确定临时命名管道名称的方式可允许本地攻击者使其中止,从而导致拒绝服务。
此外,DSA-2409-1 中引入的 debdiff 退出代码中的回归已得到修复。
解决方案
升级 devscripts 程序包。对于稳定发行版本 (squeeze),已在版本 2.10.69+squeeze4 中解决这些问题。
另见
https://security-tracker.debian.org/tracker/CVE-2012-2240
https://security-tracker.debian.org/tracker/CVE-2012-2241
https://security-tracker.debian.org/tracker/CVE-2012-2242
https://security-tracker.debian.org/tracker/CVE-2012-3500
插件详情
严重性: High
ID: 62113
文件名: debian_DSA-2549.nasl
版本: 1.12
类型: local
代理: unix
发布时间: 2012/9/17
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:devscripts, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2012/9/15
参考资料信息
CVE: CVE-2012-2240, CVE-2012-2241, CVE-2012-2242, CVE-2012-3500
BID: 55358
DSA: 2549