Bulletin d'alerte Debian

DSA-553-1 getmail -- Vulnérabilité liée aux liens symboliques

Date du rapport:

27 septembre 2004

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le système de suivi des bogues Debian : Bogue 272561.
Dans le dictionnaire CVE du Mitre : CVE-2004-0880, CVE-2004-0881.

Pour plus d'information:

Un problème de sécurité a été découvert dans getmail, un collecteur de courrier POP3 et APOP. Un attaquant possédant un compte shell sur l'hôte victime pourrait utiliser getmail afin de réécrire n'importe quel fichier s'il tourne en tant que superutilisateur.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.3.7-2.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.2.5-1.

Nous vous recommandons de mettre à jour votre paquet getmail.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.dsc; http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.diff.gz; http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.