Narzędzie uscan wchodzące w skład pakietu Debian Devscripts pomija weryfikację podpisu OpenPGP, jeśli źródło oprogramowania zostało już wcześniej pobrane — nawet gdy poprzednia weryfikacja zakończyła się niepowodzeniem. Stanowi to poważne zagrożenie dla integralności paczek Debian, gdyż atakujący może podrzucić zmodyfikowane, niepodpisane lub fałszywie podpisane źródło bez wykrycia.
▸ Pokaż oryginał (EN)
It was discovered that uscan, a tool to scan/watch upstream sources for new releases of software, included in devscripts (a collection of scripts to make the life of a Debian Package maintainer easier), skips OpenPGP verification if the upstream source is already downloaded from a previous run even if the verification failed back then.
Uscan pobiera źródła oprogramowania upstream i sprawdza ich podpisy OpenPGP w celu potwierdzenia autentyczności. Gdy źródło zostało już pobrane podczas poprzedniego uruchomienia narzędzia, weryfikacja podpisu jest pomijana — niezależnie od tego, czy poprzednia weryfikacja się powiodła. Oznacza to, że plik przechowywany lokalnie może być fałszywy lub zmodyfikowany, a narzędzie zaakceptuje go bez dodatkowego sprawdzenia. Błąd klasyfikowany jest jako CWE-347 (Improper Verification of Cryptographic Signature).
Atakujący mogący umieścić zmodyfikowany plik źródłowy w lokalizacji pobierania może spowodować, że opiekun pakietu Debian nieświadomie użyje sfałszowanego kodu źródłowego — prowadząc potencjalnie do przejęcia kontroli nad pakietem, wprowadzenia złośliwego kodu do dystrybucji lub kompromitacji środowiska budowania oprogramowania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://bugs.debian.org/1109251). Do czasu aktualizacji zaleca się ręczne usuwanie lokalnie pobranych plików źródłowych przed każdym uruchomieniem uscan, aby wymusić ponowne pobranie i weryfikację podpisu.
Debian Devscripts — wersje wskazane w referencjach producenta (pakiet uscan); dotyczy opiekunów pakietów Debian korzystających z narzędzia uscan
Podatność została zgłoszona poprzez system śledzenia błędów Debian (bug #1109251). Ocena CVSS 9.8 (CRITICAL) wynika z możliwości zdalnego wykorzystania bez uwierzytelnienia, jednak brak publicznego exploita oraz wpisu w CISA KEV uzasadnia klasyfikację poziomu pilności jako WYSOKI.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDebian Devscripts
APPDebian2.25.15
Powiązane podatności
scripts/grep-excuses.pl in Debian devscripts through 2.18.3 allows code execution through unsafe YAML loading ...
An issue exists in uscan in devscripts before 2.13.19, which could let a remote malicious user execute arbitra...
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)