Bulletin d'alerte Debian
DSA-1764-1 tunapie -- Plusieurs vulnérabilités
- Date du rapport :
- 7 avril 2009
- Paquets concernés :
- tunapie
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-1253, CVE-2009-1254.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Tunapie, une interface graphique pour lire des flux vidéo et radio. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-1253
Kees Cook a découvert qu'un traitement non sécurisé de fichiers temporaires pourrait conduire à un déni de service local à l'aide d'attaques par liens symboliques.
- CVE-2009-1254
Mike Coleman a découvert qu'une protection insuffisante d'URL de flux pourrait conduire à l'exécution de commandes arbitraires si un utilisateur est piégé dans l'ouverture d'une URL de flux contrefaite.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.3.1-1+etch2. À cause d'un problème technique, cette mise à jour n'a pas pu être publiée en même temps que la version stable (Lenny), mais elle apparaîtra au plus tôt.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.1.8-2.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour votre paquet tunapie.
- CVE-2009-1253
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.dsc
- http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2.diff.gz
- http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/t/tunapie/tunapie_2.1.8-2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.