Bulletin d'alerte Debian

DSA-1402-1 gforge -- Fichiers temporaires peu sûrs

Date du rapport :
7 novembre 2007
Paquets concernés :
gforge
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-3921.
Plus de précisions :

Steve Kemp du projet d'audit de sécurité de Debian a découvert que gforge, un outil de développement collaboratif, utilisait des fichiers temporaires de manière peu sûre. Cela peut permettre à des utilisateurs locaux de tronquer des fichiers sur le système avec les privilèges de l'utilisateur gforge, ou de créer une attaque de déni de service.

Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé dans la version 3.1-31sarge4.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 4.5.14-22etch3.

Nous vous recommandons de mettre à jour votre paquet gforge.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4.dsc
http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/g/gforge/sourceforge_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-sourceforge-transition_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-cvs_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-common_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge4_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_3.1-31sarge4_all.deb

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3.dsc
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3.diff.gz
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch3_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.