Bulletin d'alerte Debian

DSA-121-1 xtell -- Débordement de tampon, problème de liens symboliques, traversée de répertoire parent « .. »

Date du rapport :
11 mars 2002
Paquets concernés :
xtell
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-0332, CVE-2002-0333, CVE-2002-0334.
Plus de précisions :

De nombreux problèmes liés à la sécurité ont été trouvés dans le paquet xtell, un simple client/serveur de messagerie. Dans le détail, ces problèmes contiennent de nombreux débordements de tampon, un problème de liens symboliques et à une traversée de répertoire non autorisée lorsque la variable path contient "..". Ces problèmes peuvent conduire à ce qu'un assaillant puisse exécuter du code arbitraire sur la machine serveur. Comme le serveur est exécuté avec les privilèges de l'utilisateur nobody par défaut, l'exploitation sera dirigé contre ce compte.

Ils ont été corrigés par le responsable Debian du paquet xtel, par rétroportage de modifications faites à partir d'une nouvelle version à venir. Ces problèmes sont corrigés dans la version 1.91.1 de la distribution stable de Debian et dans la version 2.7 pour les distributions testing et unstable distribution de Debian.

Nous vous recommandons de mettre à jour votre paquet xtel immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.dsc
http://security.debian.org/dists/stable/updates/main/source/xtell_1.91.1.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xtell_1.91.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/xtell_1.91.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/xtell_1.91.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xtell_1.91.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtell_1.91.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xtell_1.91.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.