Bulletin d'alerte Debian

DSA-420-1 jitterbug -- Contrôle incorrect sur les entrées

Date du rapport :
12 janvier 2004
Paquets concernés :
jitterbug
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9397.
Dans le dictionnaire CVE du Mitre : CVE-2004-0028.
Plus de précisions :

Steve Kemp a découvert un problème de sécurité dans jitterbug, un outil simple de suivi de bogues basé sur du CGI. Malheureusement, le programme ne vérifie pas correctement les entrées, ce qui permet à un attaquant d'exécuter n'importe quelle commande sur le serveur hébergeant la base de données de bogues. Par contre, comme circonstance atténuante, ces attaques sont seulement possibles par des utilisateurs autorisés et dont les comptes créés par un administrateur témoignent de leur confiance.

Pour la distribution stable actuelle (Woody), ce problème a été corrigé dans la version 1.6.2-4.2woody2.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.6.2-4.5.

Nous vous recommandons de mettre à jour votre paquet jitterbug.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.dsc
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.