Bulletin d'alerte Debian
DSA-521-1 sup -- Format de chaînes de caractères
- Date du rapport :
- 18 juin 2004
- Paquets concernés :
- sup
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 10571.
Dans le dictionnaire CVE du Mitre : CVE-2004-0451. - Plus de précisions :
-
jaguar@felinemenace.org a découvert une faille basée sur le format de chaînes de caractères dans sup, un ensemble de programmes pour synchroniser des collections de fichiers sur plusieurs machines et sur lesquelles un attaquant distant peut potentiellement faire exécuter un code arbitraire avec les privilèges du processus supfilesrv (ce processus ne fonctionne pas de façon automatique par défaut).
CAN-2004-0451 : faille sur le format de chaînes de caractères dans sup via syslog(3) dans les fonctions logquit, logerr et loginfo
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.8-8woody2.
Pour la version instable (Sid), ce problème sera prochainement corrigé.
Nous vous recommandons de mettre à jour votre paquet sup.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2.dsc
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/sup/sup_1.8-8woody2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.