Devscripts
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.05816
Распределение по критичности
Критический
6
Высокий
3
Средний
3
Низкий
1
Также сопоставлено как (исходные строки): devscripts
Топ уязвимостей
CVE-2025-8454Обнаружено, что uscan, инструмент для сканирования/отслеживания исходных кодов на предмет новых выпусков программного обеспечения, включенный в состав devscripts (набор скриптов, облегчающих жизнь сопровождающему пакеты Debian), пропускает проверку OpenPGP, если исходный код уже загружен из предыдущего запуска, даже если проверка завершилась неудачей ранее [1]. Это происходит, когда uscan не может проверить подпись из-за проблем с ключом OpenPGP, используемым для подписи, например, если он использует устаревший алгоритм, такой как SHA-1. В результате, даже если проверка подписи завершилась неудачей, файл считается успешно загруженным и проверенным при последующих запусках. Для устранения этой проблемы предлагается либо загружать файл во временное хранилище до успешной проверки подписи, либо не пропускать проверку при последующих запусках. Проблема была признана важной и ей был присвоен идентификатор CVE-2025-8454.
Источники:
- [1] https://bugs.debian.org/1109251
CVE-2018-13043scripts/grep-excuses.pl в Debian devscripts до версии 2.18.3 допускает выполнение кода из-за небезопасной загрузки YAML, поскольку YAML::Syck используется без конфигурации, предотвращающей непреднамеренное благословение.
CVE-2012-0212debdiff.pl в devscripts 2.10.x до 2.10.69 и 2.11.x до 2.11.4 позволяет удаленным злоумышленникам выполнять произвольный код через метасимволы оболочки в аргументе имени файла.
CVE-2012-0211debdiff.pl в devscripts 2.10.x до 2.10.69 и 2.11.x до 2.11.4 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданное имя tarball-файла в каталоге верхнего уровня исходного tarball-пакета (.orig) исходного пакета.
CVE-2012-0210debdiff.pl в devscripts 2.10.x до 2.10.69 и 2.11.x до 2.11.4 позволяет удаленным злоумышленникам получать системную информацию и выполнять произвольный код через имя файла в файле (1) .dsc или (2) .changes.
CVE-2009-2946Уязвимость eval injection в scripts/uscan.pl до Rev 1984 в devscripts позволяет удаленным злоумышленникам выполнять произвольный код Perl через специально созданные пути на серверах распространения для исходного кода, используемого в пакетах Debian GNU/Linux.
CVE-2015-5704scripts/licensecheck.pl в devscripts до версии 2.15.7 позволяет локальным пользователям выполнять произвольные команды оболочки.
CVE-2015-5705Уязвимость внедрения аргументов в devscripts до версии 2.15.7 позволяет удаленным злоумышленникам записывать в произвольные файлы через специально созданную символическую ссылку и специально созданное имя файла.
CVE-2012-2240scripts/dscverify.pl в devscripts до 2.12.3 позволяет удаленным злоумышленникам выполнять произвольные команды через неуказанные векторы, связанные с "аргументами для внешних команд".
CVE-2012-2242scripts/dget.pl в devscripts до 2.10.73 позволяет удаленным злоумышленникам выполнять произвольные команды через специально созданный файл (1) .dsc или (2) .changes, связанный с "аргументами для внешних команд", которые неправильно экранированы, уязвимость, отличная от CVE-2012-2240.
CVE-2014-1833Уязвимость обхода каталогов в uupdate в devscripts 2.14.1 позволяет удаленным злоумышленникам изменять произвольные файлы через специально созданный .orig.tar файл, связанный с символической ссылкой.
CVE-2012-2241scripts/dget.pl в devscripts до 2.12.3 позволяет удаленным злоумышленникам удалять произвольные файлы через специально созданный файл (1) .dsc или (2) .changes, вероятно, связанный с NULL-байтом в имени файла.
CVE-2012-3500scripts/annotate-output.sh в devscripts до 2.12.2, используемый в rpmdevtools до 8.3, позволяет локальным пользователям изменять произвольные файлы через атаку с использованием символических ссылок на временный файл (1) стандартного вывода или (2) стандартного вывода ошибок.