Bulletin d'alerte Debian

DSA-1329-1 gfax -- Fichiers temporaires peu sûrs

Date du rapport :
5 juillet 2007
Paquets concernés :
gfax
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-2839.
Plus de précisions :

Steve Kemp, du projet d'audit de sécurité de Debian, a découvert que gfax, un frontal pour Gnome pour les programmes de télécopie, utilisait des fichiers temporaires de manière peu sûre, cela peut être exploité pour exécuter des commandes arbitraires avec les privilèges du superutilisateur.

Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé dans la version 0.4.2-11sarge1.

La distribution stable (Etch) n'est pas affectée par ce problème.

La distribution instable (Sid) n'est pas affectée par ce problème.

Nous vous recommandons de mettre à jour votre paquet gfax.

Corrigé dans :

Debian GNU/Linux 3.1 alias sarge

Source :
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1.diff.gz
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1.dsc
alpha architecture (DEC Alpha)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_alpha.deb
amd64 architecture (AMD x86_64 (AMD64))
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_amd64.deb
arm architecture (ARM)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_arm.deb
i386 architecture (Intel ia32)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_i386.deb
ia64 architecture (Intel ia64)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_ia64.deb
m68k architecture (Motorola Mc680x0)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_m68k.deb
s390 architecture (IBM S/390)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_s390.deb
sparc architecture (Sun SPARC/UltraSPARC)
http://security.debian.org/pool/updates/main/g/gfax/gfax_0.4.2-11sarge1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.