Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2369-1 libsoup2.4

Bulletin d'alerte Debian

DSA-2369-1 libsoup2.4 -- Vérification d'entrées manquante

Date du rapport :

21 décembre 2011

Paquets concernés :

libsoup2.4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 635837.
Dans le dictionnaire CVE du Mitre : CVE-2011-2524.

Plus de précisions :

libsoup, une implémentation en C d'une bibliothèque HTTP, ne valide pas correctement l'entrée lors du traitement de requêtes faites au SoupServer. Un attaquant distant peut exploiter ce défaut pour accéder aux fichiers du système à l'aide d'une attaque de traversée de répertoires.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.4.1-2+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.30.2-1+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.34.3-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.34.3-1.

Nous vous recommandons de mettre à jour vos paquets libsoup2.4.