Debian devscripts软件包uscan远程代码执行漏洞

Debian devscripts软件包uscan远程代码执行漏洞

发布日期：2009-09-02
更新日期：2009-09-15

受影响系统：
Debian devscripts 2.9.26
Debian devscripts 2.9.25
Debian devscripts 2.10.35
不受影响系统：
Debian devscripts 2.9.26 etch4
Debian devscripts 2.10.54
Debian devscripts 2.10.35 lenny6
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 36227
CVE(CAN) ID: CVE-2009-2946

Debian是一个流行的Linux发行版本。

uscan是Debian的devscripts软件包中所提供的程序，用于检测是否有新的源码版本可用。uscan运行了从不可信任来源下载的Perl代码实现URL与版本的重整功能，如果源码的发布服务器使用了恶意的路径名就会导致注入并执行任意Perl代码。

<*来源：Raphael Geissert （atomo64@gmail.com）
 
  链接：http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=515209
        http://www.debian.org/security/2009/dsa-1878
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1878-1）以及相应补丁:
DSA-1878-1：devscripts -- missing input sanitation
链接：http://www.debian.org/security/2009/dsa-1878