Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2281-1 opie

Bulletin d'alerte Debian

DSA-2281-1 opie -- Plusieurs vulnérabilités

Date du rapport :

21 juillet 2011

Paquets concernés :

opie

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 631344, Bogue 631345, Bogue 584932.
Dans le dictionnaire CVE du Mitre : CVE-2011-2489, CVE-2011-2490, CVE-2010-1938.

Plus de précisions :

Sebastian Krahmer a découvert qu'OPIE, un système qui simplifie l'utilisation de mots de passe à usage unique, est prédisposé à une augmentation de droits (CVE-2011-2490) et à une erreur due à un décalage d'entier, ce qui peut conduire à l'exécution de code arbitraire (CVE-2011-2489). Adam Zabrocki et Maksymilian Arciemowicz ont aussi découvert une autre erreur due à un décalage d'entier (CVE-2010-1938), qui ne concerne que la version de Lenny car le correctif avait déjà été inclus dans Squeeze.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 2.32-10.2+lenny2.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.32.dfsg.1-0.2+squeeze1

La distribution testing (Wheezy) et la distribution unstable (Sid) ne contiennent pas opie.

Nous vous recommandons de mettre à jour vos paquets opie.