Bulletin d'alerte Debian

htdig -- Faille exploitable à distance dans htdig

Date du rapport :
9 décembre 1999
Paquets concernés :
htdig
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-1999-0978.
Plus de précisions :
La version de htdig fournie dans Debian GNU/Linux 2.1 a un problème avec l'appel à des programmes externes pour gérer les documents non-HTML : il appelle ces applications externes avec le document comme paramètre mais ne vérifie pas les séquences d'échappement. Ceci peut être utilisé en créant des fichiers qui utilisent ce genre de caractères pour exécuter des commandes arbitraires sur la machine qui fait fonctionner htdig.
Corrigé dans :
Source :
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb