发布日期：2009-09-02
更新日期：2009-09-15

受影响系统：

Debian devscripts 2.9.26
Debian devscripts 2.9.25
Debian devscripts 2.10.35

不受影响系统：

Debian devscripts 2.9.26 etch4
Debian devscripts 2.10.54
Debian devscripts 2.10.35 lenny6

描述：

---

BUGTRAQ  ID: 36227
CVE(CAN) ID: CVE-2009-2946

Debian是一个流行的Linux发行版本。

uscan是Debian的devscripts软件包中所提供的程序，用于检测是否有新的源码版本可用。uscan运行了从不可信任来源下载的Perl代码实现URL与版本的重整功能，如果源码的发布服务器使用了恶意的路径名就会导致注入并执行任意Perl代码。

<*来源：Raphael Geissert （atomo64@gmail.com）
  
  链接：http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=515209
        http://www.debian.org/security/2009/dsa-1878
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1878-1）以及相应补丁:
DSA-1878-1：devscripts -- missing input sanitation
链接：http://www.debian.org/security/2009/dsa-1878

浏览次数：2003
严重程度：0（网友投票）