Bulletin d'alerte Debian
DSA-1979-1 lintian -- Plusieurs vulnérabilités
- Date du rapport :
- 27 janvier 2010
- Paquets concernés :
- lintian
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-4013, CVE-2009-4014, CVE-2009-4015.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans lintian, un vérificateur de paquet Debian. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-4013 :
absence de vérification des fichiers de contrôle
Les noms des champs de contrôle et les valeurs n'étaient pas vérifiés avant d'être utilisés dans certaines opérations ce qui pourrait conduire à des traversées de répertoires.
Les fichiers de contrôle des systèmes de correctif n'étaient pas vérifiés avant d'être utilisés dans certaines opérations ce qui pourrait conduire à des traversées de répertoires.
Un attaquant pourrait exploiter ces vulnérabilités pour écraser des fichiers arbitraires ou divulguer des renseignements sur le système.
- CVE-2009-4014 :
vulnérabilités de chaîne de formatage
Plusieurs scripts de vérification et le module Lintian::Schedule utilisaient l'entrée fournie par l'utilisateur dans une partie de la chaîne de formatage sprintf ou printf.
- CVE-2009-4015 :
exécution de commande arbitraire
Les noms de fichier n'étaient pas correctement protégés lorsqu'ils étaient passés comme arguments à certaines commandes, permettant l'exécution d'autres commandes en tube (
pipe
) ou en jeu de commandes d'interpréteur.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.23.28+etch1.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.24.2.1+lenny1.
Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.3.2.
Nous vous recommandons de mettre à jour vos paquets lintian.
- CVE-2009-4013 :
absence de vérification des fichiers de contrôle
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.23.28+etch1_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.tar.gz
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/l/lintian/lintian_1.24.2.1+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.