Bulletin d'alerte Debian

DSA-2259-1 fex -- Contournement d'authentification

Date du rapport :
12 juin 2011
Paquets concernés :
fex
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1409.
Plus de précisions :

On a découvert que F*EX, un service web pour transférer de très gros fichiers, ne vérifie pas correctement les identifiants d'authentification. Alors que le service vérifie correctement les identifiants, un attaquant qui n'indique aucun identifiant peut contourner la procédure d'authentification.

La distribution oldstable (Lenny) ne contient pas fex.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 20100208+debian1-1+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 20110610-1.

Nous vous recommandons de mettre à jour vos paquets fex.