reprepro更新代码库签名验证绕过安全限制漏洞

2007-09-08T00:00:00
ID SSV:2197
Type seebug
Reporter Root
Modified 2007-09-08T00:00:00

Description

BUGTRAQ ID: 25537

reprepro是用于处理debian软件包的本地代码库的工具。

reprepro在处理密钥交换时存在漏洞,远程攻击者可能利用此漏洞绕过验证。

在使用update命令升级代码库时reprepro只使用请求密钥验证签名,而请求密钥的签名根本不存在时也不会报告,因此会接收任何使用未知密钥签名的内容,这就导致不安全内容绕过了安全检查。

Bernhard R. Link reprepro 2.2.3 Bernhard R. Link reprepro 1.3.0-1 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href="http://alioth.debian.org/frs/download.php/2127/reprepro_2.2.4.orig.tar.gz" target="_blank">http://alioth.debian.org/frs/download.php/2127/reprepro_2.2.4.orig.tar.gz</a>