Bulletin d'alerte Debian
DSA-2047-1 aria2 -- Vérification d'entrée manquante
- Date du rapport :
- 17 mai 2010
- Paquets concernés :
- aria2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-1512.
- Plus de précisions :
-
Une vulnérabilité a été découverte dans aria2, un client de téléchargement. L'attribut
name
de l'élémentfile
des fichiers de métalien n'est pas correctement vérifié avant de l'utiliser pour télécharger des fichiers. Si un utilisateur est piégé à télécharger à partir d'un fichier de métalien contrefait pour l'occasion, ce peut être utilisé pour télécharger des fichiers vers des répertoires en dehors du répertoire de téléchargement prévu.Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.14.0-1+lenny2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.3-1.
Nous vous recommandons de mettre à jour votre paquet aria2.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.dsc
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.