Bulletin d'alerte Debian

DSA-1402-1 gforge -- Fichiers temporaires peu sûrs

Date du rapport:

7 novembre 2007

Paquets concernés:

gforge

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2007-3921.

Pour plus d'information:

Steve Kemp du projet d'audit de sécurité de Debian a découvert que gforge, un outil de développement collaboratif, utilisait des fichiers temporaires de manière peu sûre. Cela peut permettre à des utilisateurs locaux de tronquer des fichiers sur le système avec les privilèges de l'utilisateur gforge, ou de créer une attaque de déni de service.

Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé dans la version 3.1-31sarge4.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 4.5.14-22etch3.

Nous vous recommandons de mettre à jour votre paquet gforge.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4.dsc; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4.diff.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/gforge/sourceforge_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-sourceforge-transition_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-cvs_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-common_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_3.1-31sarge4_all.deb

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3.dsc; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch3_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch3_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.