Debians sikkerhedsbulletin

DSA-1764-1 tunapie -- flere sårbarheder

Rapporteret den:
7. apr 2009
Berørte pakker:
tunapie
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-1253, CVE-2009-1254.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Tunapie, en GUI-frontend til video- og radiostreams. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-1253

    Kees Cook opdagede at usikker håndtering af midlertidige filer måske kunne føre til et lokalt lammelsesnagreb (denial of service) gennem symlink-angreb.

  • CVE-2009-1254

    Mike Coleman opdagede at utilstrækkelig indkapsling af stream-URL'er måske kunne føre til udførelse af vilkårlige kommandoer, hvis en bruger blev narret til at åbne et misdannet stream-URL.

I den gamle stabile distribution (etch), er disse problemer rettet i version 1.3.1-1+etch2. På grund af tekniske problemer, kan denne opdatering ikke udgives synkront med den stabile (lenny) version, men vil snart være klar.

I den stabile distribution (lenny), er disse problemer rettet i version 2.1.8-2.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer din tunapie-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.dsc
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8.orig.tar.gz
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.