Bulletin d'alerte Debian
DSA-687-1 bidwatcher -- Format de chaînes de caractères
- Date du rapport :
- 18 février 2005
- Paquets concernés :
- bidwatcher
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2005-0158.
- Plus de précisions :
-
Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert une vulnérabilité sur le format des chaînes de caractères dans bidwatcher, un outil pour surveiller et enchérir sur des ventes aux enchères eBay. Ce problème peut être exploité à distance par un serveur web de eBay, ou par quelqu'un se faisant passer pour eBay, renvoyant des données particulières. Depuis la version 1.3.17, le programme utilise cURL et n'est pas touché par cette vulnérabilité.
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 1.3.3-1woody1.
Pour la distribution instable (Sid), ce problème sera bientôt corrigé.
Nous vous recommandons de mettre à jour votre paquet bidwatcher.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1.dsc
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/b/bidwatcher/bidwatcher_1.3.3-1woody1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.