关键漏洞信息 公告编号: DSA-2549-1 日期: 2012年9月15日 包名称: devscripts 漏洞类型: 多个漏洞 问题类型: 局部 (远程) Debian特定: 无 CVE ID: CVE-2012-2240, CVE-2012-2241, CVE-2012-2242, CVE-2012-3500 具体漏洞描述 CVE-2012-2240: - 发现者: Raphael Geissert - 问题: dscverify 在处理外部命令参数时未进行充分验证和转义,允许远程攻击者执行任意代码。 - 受影响程序: dscverify (通过diget使用) CVE-2012-2241: - 发现者: Raphael Geissert - 问题: dget 允许攻击者在处理特制的.dsc或.changes文件时删除任意文件,由于输入验证不足。 CVE-2012-2242: - 发现者: Raphael Geissert - 问题: dget 在处理.dsc和.changes文件时未能正确转义外部命令参数,允许攻击者执行任意代码。该问题在CVE-2012-2241的修复中被限制,并已在2.10.73版本中修复。 CVE-2012-3500: - 发现者: Jim Meyering (Red Hat) - 问题: annotate-output 在确定临时命名管道时,允许本地攻击者中止导致拒绝服务。 - 额外问题: debdiff的退出代码在DSA-2409-1中引入的回归问题已被修复。 固定版本 稳定发行版 (squeeze): 版本 2.10.69+squeeze4 测试发行版 (wheezy): 将在近期修复 不稳定发行版 (sid): 版本 2.12.3 建议 升级你的devscripts包。