Bulletin d'alerte Debian

DSA-1764-1 tunapie -- Plusieurs vulnérabilités

Date du rapport :
7 avril 2009
Paquets concernés :
tunapie
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2009-1253, CVE-2009-1254.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Tunapie, une interface graphique pour lire des flux vidéo et radio. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-1253

    Kees Cook a découvert qu'un traitement non sécurisé de fichiers temporaires pourrait conduire à un déni de service local à l'aide d'attaques par liens symboliques.

  • CVE-2009-1254

    Mike Coleman a découvert qu'une protection insuffisante d'URL de flux pourrait conduire à l'exécution de commandes arbitraires si un utilisateur est piégé dans l'ouverture d'une URL de flux contrefaite.

Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.3.1-1+etch2. À cause d'un problème technique, cette mise à jour n'a pas pu être publiée en même temps que la version stable (Lenny), mais elle apparaîtra au plus tôt.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.1.8-2.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour votre paquet tunapie.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.dsc
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8.orig.tar.gz
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.