Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2791-1 tryton-client

Bulletin d'alerte Debian

DSA-2791-1 tryton-client -- Absence de vérification des entrées

Date du rapport :

4 novembre 2013

Paquets concernés :

tryton-client

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-4510.

Plus de précisions :

Cedric Krier a découvert que le client Tryton ne nettoie pas l'extension de fichiers fournis par le serveur lors du traitement de rapports. Il en résulte qu'un serveur malveillant pourrait envoyer un rapport avec une extension de fichier contrefaite qui causerait une écriture du client sur tout fichier pour lequel l'utilisateur lançant le client aurait les droits d'écriture.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.6.1-1+deb6u1.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.2.3-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets tryton-client.