Bulletin d'alerte Debian

DSA-034-1 ePerl -- Exploitation de root à distance

Date du rapport :
7 mars 2001
Paquets concernés :
eperl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2464.
Dans le dictionnaire CVE du Mitre : CVE-2001-0458.
Plus de précisions :
Fumitoshi Ukai et Denis Barbier ont trouvé des dépassements de tampon potentiels dans notre version d'ePerl telle qu'elle est distribuée dans toutes nos versions.

Quand eperl est installé avec les privilèges de root, il peut modifier le propriétaire des scripts. Même si Debian distribue le programme avec une autre identité, c'est une fonctionnalité pratique que des gens peuvent activer localement. Si le programme est invoqué ainsi /usr/lib/cgi-bin/nph-eperl, les bogues peuvent mener à une exploitation à distance.

La version 2.2.14-0.7potato2 corrige ceci ; nous vous recommandons de mettre à jour immédiatement votre paquet eperl.

Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb