Bulletin d'alerte Debian
DSA-434-1 gaim -- Plusieurs vulnérabilités
- Date du rapport :
- 5 février 2004
- Paquets concernés :
- gaim
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9489.
Dans le dictionnaire CVE du Mitre : CVE-2004-0005, CVE-2004-0006, CVE-2004-0007, CVE-2004-0008. - Plus de précisions :
-
Stefan Esser a découvert plusieurs problèmes de sécurité dans Gaim, un client de messagerie instantanée multiprotocole. Certaines ne s'appliquent pas à la version de Debian stable mais affectent au moins la distribution instable. Les problèmes ont été regroupés par le projet Common Vulnerabilities and Exposures ainsi :
- CAN-2004-0005
Lorsque le gestionnaire Yahoo Messenger décode une valeur octale pour les fonctions de notifications de courriels, deux types de dépassements peuvent se produire. Lorsque le décodeur MIME décode une chaîne de caractères encodée imprimable pour la notification de courriel, deux autres types de dépassements peuvent se produire. Ces problèmes n'affectent que la version de la distribution instable ;
- CAN-2004-0006
Lors de la lecture des témoins contenus dans l'en-tête de réponse HTTP d'une connexion web Yahoo, un dépassement de tampon peut se produire. Lors de la lecture de la page de connexion de Yahoo, le protocole YMSG dépasse des tampons dans la pile si le page web renvoie des valeurs hors champ. Lors de la découpe d'une URL, un dépassement dans la pile peut se produire. Ces problèmes n'affectent que la version de la distribution instable.
Lorsqu'un nom de clé trop grand est lu dans un paquet Yahoo Messenger, un dépassement dans la pile peut se produire. Lorsque GAIM est configuré pour utiliser un proxy pour ses connexions HTTP au serveur, un proxy HTTP malintentionné peut exploiter cette vulnérabilité. Ces problèmes affectent toutes les versions fournies dans Debian. Toutefois, la connexion à Yahoo ne fonctionne pas dans la version de Debian stable ;
- CAN-2004-0007
En interne, des données sont copiées entre deux emplacements dans un tampon de taille fixe dans la pile sans vérification de taille. Ce problème n'affecte que la version de la distribution instable ;
- CAN-2004-0008
Lors de l'allocation de la mémoire pour les paquets AIM/Oscar DirectIM, un dépassement d'entier peut se produire, résultant en un dépassement sur le tas. Ce problème n'affecte que la version de la distribution instable.
Pour la distribution stable actuelle (Woody), ces problèmes sont corrigés dans la version 0.58-2.4.
Pour la distribution instable (Sid), ces problèmes sont corrigés dans la version 0.75-2.
Nous vous recommandons de mettre à jour votre paquet gaim.
- CAN-2004-0005
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.dsc
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.diff.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.