Bulletin d'alerte Debian

DLA-68-1 fex -- Mise à jour de sécurité pour LTS

Date du rapport :
30 septembre 2014
Paquets concernés :
fex
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3875, CVE-2014-3876, CVE-2014-3877.
Plus de précisions :
  • [CVE-2014-3875]

    Lors de l’insertion de caractères de nouvelle lignes encodés dans une requête vers rup, des en-têtes HTTP supplémentaires peuvent être injectés dans la réponse, ainsi que du nouveau code HTML en haut du site web.

  • [CVE-2014-3876]

    Le paramètre akey est réfléchi non filtré comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de l’URL, mais cela peut être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est exploitable à l’aide du paramètre GET seul, sous réserve d'interaction avec l'utilisateur.

  • [CVE-2014-3877]

    Le paramètre addto est seulement réfléchi légèrement filtré vers l’utilisateur comme composant de la page HTML. Quelques caractères sont interdits dans le paramètre GET à cause du filtrage de l’URL, mais cela peut être contourné en utilisant le paramètre POST. Néanmoins, ce défaut est exploitable à l’aide du paramètre GET seul, sous réserve d'interaction avec l’utilisateur.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 20100208+debian1-1+squeeze4 de fex.