filezillaのRCバグ(CVE-2019-5429)を修正してみる

bugs.debian.org

sidおよびbusterに影響するRCバグをまだ誰も修正していなさそうなのでやってみた。（filezillaのユーザーというわけではないけれど）

ざっくりとした内容としては、細工したfzsftpバイナリが置かれていたらfilezillaがそいつをロードしてしまうというもの。

security-tracker.debian.org

バグ報告で言及されているトラッカーをみると、upstreamですでに修正されているのでパッチはある。なのであとはパッチを適用してあげれば解決できそう。

具体的には apt source filezilla で現在のソースパッケージを取得して、該当するパッチをあててみる。

dquilt new CVE-2019-5429.patch
パッチ CVE-2019-5429.patch を最上位にしました

修正対象がわかっているのでdquiltで対象にいれてから該当のパッチをあててみればよい。

% dquilt add src/interface/FileZilla.cpp
ファイル src/interface/FileZilla.cpp をパッチ CVE-2019-5429.patch に追加しました
-[8078]% dquilt add src/interface/filezillaapp.h
ファイル src/interface/filezillaapp.h をパッチ CVE-2019-5429.patch に追加しました
-[8079]% patch -p0 < ../CVE-2019-5429.trunk.patch
patching file src/interface/FileZilla.cpp
Hunk #1 succeeded at 49 (offset 1 line).
Hunk #2 succeeded at 400 (offset 27 lines).
Hunk #3 succeeded at 415 (offset 27 lines).
Hunk #4 succeeded at 422 (offset 27 lines).
Hunk #5 succeeded at 515 (offset 27 lines).
Hunk #6 succeeded at 524 (offset 27 lines).
Hunk #7 succeeded at 625 (offset 27 lines).
Hunk #8 succeeded at 632 (offset 27 lines).
Hunk #9 succeeded at 659 (offset 27 lines).
Hunk #10 succeeded at 669 (offset 27 lines).
Hunk #11 succeeded at 717 (offset 27 lines).
Hunk #12 succeeded at 729 (offset 27 lines).
patching file src/interface/filezillaapp.h

バージョンがやや古いのでバックポートする形になった。あとは、パッチを更新する。

dquilt refresh
パッチ CVE-2019-5429.patch をリフレッシュしました

パッチのヘッダは dquilt header -e でDEP3にならう形で修正しておく。

dep-team.pages.debian.net

Subject: Restrict directories in which tools and data files are searched .
Origin: https://svn.filezilla-project.org/filezilla?revision=9097&view=revision
Bug: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928282 
Author: Tim Kosse <tim.kosse@filezilla-project.org>
Forwarded: not-needed

Apply upstream patch to fix CVE-2019-5429.

ref. https://security-tracker.debian.org/tracker/CVE-2019-5429

The patch is coming from:
  https://svn.filezilla-project.org/filezilla?view=revision&revision=9097
  https://svn.filezilla-project.org/filezilla?view=revision&revision=9098

This patch is needless when Filezilla itself is upgraded to 3.41.0 or newer version.

実際のところは、トラッカーで言及されているパッチだけだとコンパイルできないというオチがついていた。

気になっているのは、どうもCVE-2019-5429の修正でよけいなバグを入れ込んでいるようにみえるところ。最低限のパッチとしていれるのかどうか迷ったのでひとまず見送った。

https://svn.filezilla-project.org/filezilla?view=revision&revision=9099

あとは debdiff filezilla_3.39.0-2.dsc filezilla_3.39.0-2.1.dscみたいにしてパッチを作成する。

#928282 - filezilla: CVE-2019-5429 - Debian Bug report logs としてパッチを送ってひとくぎり。

あとは偉い人がどうにかしてくれるだろう。