Bulletin d'alerte Debian

DSA-2179-1 dtc -- Injection SQL

Date du rapport :
2 mars 2011
Paquets concernés :
dtc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 614302.
Dans le dictionnaire CVE du Mitre : CVE-2011-0434, CVE-2011-0435, CVE-2011-0436, CVE-2011-0437.
Plus de précisions :

Ansgar Burchardt a découvert plusieurs vulnérabilités dans DTC, une interface de configuration par le web pour administrer et attribuer des services d'hébergement.

  • CVE-2011-0434

    Le graphe bw_per_moth.php contient une vulnérabilité d'injection SQL.

  • CVE-2011-0435

    Des vérifications insuffisantes dans bw_per_month.php peuvent mener à la divulgation d'informations d'utilisation.

  • CVE-2011-0436

    Après enregistrement, les mots de passe sont envoyés en clair dans les courriers électroniques.

  • CVE-2011-0437

    Les utilisateurs authentifiés pourraient effacer des comptes qui utilisent une interface obsolète inclue par erreur dans le paquet.

Cette mise à jour introduit une nouvelle option de configuration qui contrôle la présence de mots de passe en clair dans les courriers électroniques. Par défaut, les mots de passe ne sont pas inclus en clair.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.29.17-1+lenny1.

La distribution stable (Squeeze) et la distribution testing (Wheezy) ne contiennent pas de paquet dtc.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.32.10-1.

Nous vous recommandons de mettre à jour vos paquets dtc.