Bulletin d'alerte Debian

DSA-2365-1 dtc -- Plusieurs vulnérabilités

Date du rapport :
18 décembre 2011
Paquets concernés :
dtc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 637469, Bogue 637477, Bogue 637485, Bogue 637584, Bogue 637629, Bogue 637630, Bogue 637618, Bogue 637537, Bogue 637487, Bogue 637632, Bogue 637669.
Dans le dictionnaire CVE du Mitre : CVE-2011-3195, CVE-2011-3196, CVE-2011-3197, CVE-2011-3198, CVE-2011-3199.
Plus de précisions :

Ansgar Burchardt, Mike O'Connor et Philipp Kern ont découvert plusieurs vulnérabilités dans DTC, une interface web de contrôle pour l'administration et la comptabilité de services d'hébergement.

  • CVE-2011-3195

    Une éventuelle insertion de shell a été découverte dans la gestion de listes de diffusion.

  • CVE-2011-3196

    Les droits du fichier apache2.conf n'étaient pas configurés correctement (lisible à tous).

  • CVE-2011-3197

    Une vérification incorrecte des entrées pour le paramètre $_SERVER["addrlink"] pourrait conduire à une insertion SQL.

  • CVE-2011-3198

    DTC utilisait l'option -b de htpasswd, révélant éventuellement le mot de passe en clair en utilisant ps ou en lisant /proc.

  • CVE-2011-3199

    Une éventuelle vulnérabilité d'insertion de HTML ou JavaScript a été découverte dans la section DNS & MX du panel utilisateur.

Cette mise à jour corrige aussi plusieurs vulnérabilités pour lesquelles aucun identifiant CVE n'a été assigné.

DTC ne réalise pas suffisamment de vérifications d'entrées dans l'installateur de paquets, permettant éventuellement l'utilisation d'un répertoire de destination indésirable pour les paquets installés si certains paquets d'application sont installés (remarquez qu'ils ne sont pas disponibles dans l'archive principale de Debian).

DTC configurait /etc/sudoers avec des droits permissifs pour chrootuid.

Une vérification incorrecte des entrées dans l'installateur de paquets pourrait conduire à une insertion SQL.

Un utilisateur malveillant pourrait entrer un sujet de ticket d'aide contrefait pour l'occasion permettant une injection SQL dans draw_user_admin.php.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.29.18-1+lenny2.

La distribution stable (Squeeze) ne contient pas dtc.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.34.1-1.

Nous vous recommandons de mettre à jour vos paquets dtc.