Bulletin d'alerte Debian
DSA-661-2 f2c -- Fichiers temporaires non sécurisés
- Date du rapport :
- 20 avril 2005
- Paquets concernés :
- f2c
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2005-0017, CVE-2005-0018.
- Plus de précisions :
-
Dan McMahill a remarqué que l'annonce de sécurité DSA 661-1 ne corrigeait pas les multiples problèmes de fichiers non sécurisés, d'où cette mise à jour. Voici l'intégralité du bulletin original :
Javier Fernández-Sanguino Peña du projet d'audit de sécurité de Debian a découvert que f2c et fc, faisant tous les deux partie du paquet f2c, un traducteur fortran77 vers C/C++, ouvraient les fichiers temporaires de manière non sûre. Ils étaient ainsi vulnérables à une attaque par lien symbolique. Le projet « Common Vulnerabilities and Exposures » a identifié les vulnérabilités suivantes :
- CAN-2005-0017
Multiples fichiers temporaires non sécurisés dans le traducteur f2c.
- CAN-2005-0018
Deux fichiers temporaires non sécurisés dans le script shell f2.
Pour l'actuelle distribution stable (Woody) ainsi que toutes les autres distributions dont celle de test (Testing), ce problème a été corrigé dans la version 20010821-3.2.
Nous vous recommandons de mettre à jour votre paquet f2c.
- CAN-2005-0017
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.dsc
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.diff.gz
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.