Bulletin d'alerte Debian

DSA-148-1 hylafax -- Dépassements de tampon et formats de chaîne de caractères vulnérables

Date du rapport:

12 août 2002

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 3357, Identificateur BugTraq 5349, Identificateur BugTraq 5348.
Dans le dictionnaire CVE du Mitre : CVE-2002-1049, CVE-2002-1050, CVE-2001-1034.

Pour plus d'information:

Plusieurs problèmes ont été découverts dans Hylafax, un logiciel client/serveur pratique pour le fax distribué dans de nombreuses distributions GNU/Linux. Selon SecurityFocus, les problèmes en détail sont :

Une vulnérabilité dans un format de chaîne de caractères permet aux utilisateurs d'exécuter n'importe quel code sur certaines versions. À cause de ce manque de vérification des entrées, il est possible de faire une attaque par format de chaîne de caractères. Cependant, ceci affecte les systèmes où faxrm et faxalter sont installés avec des permissions utilisateur. Par conséquent, Debian n'est pas vulnérable.
Un dépassement de tampon a été rapporté dans Hylafax. La transmission d'un fax conçu pour contenir une longue ligne à scanner peut déborder de l'espace mémoire alloué. Cette faiblesse peut avoir comme conséquence un déni de service ou même l'exécution arbitraire de code avec les privilèges de superutilisateur.
Un autre mauvais format a été trouvé dans faxgetty. Les fax entrants ont dans leur en-tête un identifiant de l'envoyeur (Transmitting Subscriber Identification (TSI)), utilisé pour identifier la machine émettrice. Hylafax utilise cette information sans vérifier sa cohérence. Une donnée erronée peut planter le serveur, causant un déni de service.
Marcin Dawcewicz a rendu public une autre de ces vulnérabilités dans hfaxd, qui le plante dans certains conditions. Mais comme Debian n'installe pas hfaxd avec les privilèges de root, ce problème n'est pas critique. Ceci a été réparé par Darren Nickerson, qui était intégré dans les versions plus récentes mais pas dans celle de Potato.

Ces problèmes sont réglés dans la version 4.0.2-14.3 pour l'ancienne distribution stable (potato), dans celle 4.1.1-1.1 pour l'actuelle distribution stable (woody) et celle 4.1.2-2.1 pour la distribution instable (sid).

Nous vous recommandons de mettre à jour vos paquets hylafax.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.0.2-14.3.dsc; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.0.2-14.3.diff.gz; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.0.2.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.0.2-14.3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_alpha.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_arm.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_i386.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_m68k.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_powerpc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.0.2-14.3_sparc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.0.2-14.3_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-1.1.dsc; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-1.1.diff.gz; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.1.1-1.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_alpha.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_arm.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_i386.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_ia64.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_hppa.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_m68k.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_powerpc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_s390.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-1.1_sparc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-1.1_sparc.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.