Bulletin d'alerte Debian

DSA-192-1 html2ps -- Exécution arbitraire de code

Date du rapport :
8 novembre 2002
Paquets concernés :
html2ps
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6079.
Dans le dictionnaire CVE du Mitre : CVE-2002-1275.
Plus de précisions :

L'équipe en charge de la sécurité chez SuSE a trouvé une faille de sécurité dans html2ps, un convertisseur HTML vers PostScript, qui ouvre les fichiers en utilisant une entrée non protégée. Ce problème peut être exploité lorsque html2ps est installé comme filtre de lprng et que l'assaillant a préalablement obtenu l'accès au compte lp.

Ces problèmes ont été corrigés dans la version 1.0b3-1.1 pour l'actuelle distribution stable (Woody), dans la version 1.0b1-8.1 pour l'ancienne distribution stable (Potato) et dans la version 1.0b3-2 pour la distribution unstable (Sid).

Nous vous recommandons de mettre à jour votre paquet html2ps.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2.dsc
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2.diff.gz
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b1-8.2_all.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2.dsc
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2.diff.gz
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/h/html2ps/html2ps_1.0b3-1.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.