Bulletin d'alerte Debian
DSA-089-2 icecast-server -- Connexion distante en root abusive (et divers)
- Date du rapport :
- 5 décembre 2001
- Paquets concernés :
- icecast-server
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2264, Identifiant BugTraq 2932, Identifiant BugTraq 2933.
Dans le dictionnaire CVE du Mitre : CVE-2001-0784, CVE-2001-1083, CVE-2001-1230. - Plus de précisions :
-
Le paquet icecast-server (un serveur de diffusion musicale) distribué dans Debian GNU/Linux 2.2 contient plusieurs problèmes de sécurité :
- si un client ajoutait un / après le nom du fichier à télécharger, le serveur plantait ;
- en modifiant les points en E, il était possible de contourner les règles de sécurité et de télécharger des fichiers arbitrairement ;
- il y avait différents dépassements de tampons qui pouvaient être exploités pour obtenir l'accès root.
Ces problèmes ont été résolus dans la version 1.3.10-1, et nous vous recommandons sérieusement de mettre à jour votre paquet icecast-server immédiatement.
Le paquet i386 mentionné dans le bulletin DSA-089-1 était compilé de façon incorrecte et ne fonctionnait pas sur les machines sous Debian GNU/Linux Potato. Ceci a été corrigé dans la version 1.3.10-1.1.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/icecast-server_1.3.10-1.tar.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/icecast-server_1.3.10-1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/icecast-server_1.3.10-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/icecast-server_1.3.10-1.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/icecast-server_1.3.10-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/icecast-server_1.3.10-1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/icecast-server_1.3.10-1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité. (DSA-089-2)