| Reprepro处理密钥交换绕过安全限制漏洞 |
发布日期:2007-09-04 更新日期:2007-09-06 受影响系统: Bernhard R. Link reprepro 2.2.3 Bernhard R. Link reprepro 1.3.0-1 不受影响系统: Bernhard R. Link reprepro 2.2.4 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 25537 reprepro是用于处理debian软件包的本地代码库的工具。 reprepro在处理密钥交换时存在漏洞,远程攻击者可能利用此漏洞绕过验证。 在使用update命令升级代码库时reprepro只使用请求密钥验证签名,而请求密钥的签名根本不存在时也不会报告,因此会接收任何使用未知密钥签名的内容,这就导致不安全内容绕过了安全检查。 <*来源:Bernhard R. Link 链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=440535 *> 建议: -------------------------------------------------------------------------------- 厂商补丁: Bernhard R. Link ---------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://alioth.debian.org/frs/download.php/2127/reprepro_2.2.4.orig.tar.gz |
