Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1394-1 reprepro -- Authentifizierungsumgehung

Datum des Berichts:

23. Okt 2007

Betroffene Pakete:

reprepro

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 440535.
In Mitres CVE-Verzeichnis: CVE-2007-4739.

Weitere Informationen:

Es wurde entdeckt, dass reprepro, ein Werkzeug zum Erzeugen von Repositorys von Debian-Paketen, nur die Gültigkeit bekannter Signaturen bei der Aktualisierung von einer entfernten Seite prüft, und so Pakete mit nur unbekannten Signaturen nicht zurück weist. Dies ermöglicht es einem Angreifer, diesen Authentifizierungmechanismus zu umgehen.

Die alte Stable-Distribution (Sarge) ist von diesem Problem nicht betroffen.

Für die Stable-Distribution (Etch) wurde dieses Problem in Version 1.3.1+1-1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.2.4-1 behoben.

Wir empfehlen Ihnen, Ihr reprepro-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.dsc

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1.diff.gz

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_arm.deb

HPPA:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_ia64.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/r/reprepro/reprepro_1.3.1+1-1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein