Bulletin d'alerte Debian
mirror -- Mauvaise gestion des noms de répertoire dans mirror
- Date du rapport :
- 18 octobre 1999
- Paquets concernés :
-
mirror
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2000-0354.
- Plus de précisions :
-
Nous avons reçu des rapports indiquant que la version de mirror incluse
dans Debian GNU/Linux 2.1 peut être soumise à une attaque distante.
Quand on effectue le miroir d'un site, son propriétaire malveillant
peut utiliser des constructions de noms de fichier comme
« .. » forçant le miroir à travailler à un niveau
au dessus du répertoire de base pour les fichiers à copier et
donc permettre d'écraser des données locales.
- Corrigé dans :
-
- Source :
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
- http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb
