Bulletin d'alerte Debian

DLA-140-1 rpm -- Mise à jour de sécurité pour LTS

Date du rapport :
28 janvier 2015
Paquets concernés :
rpm
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0060, CVE-2012-0061, CVE-2012-0815, CVE-2013-6435, CVE-2014-8118.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans rpm :

  • CVE-2014-8118

    Correction d’un dépassement d’entier permettant à des attaquants distants d’exécuter du code arbitraire.

  • CVE-2013-6435

    Empêchement pour des attaquants distants d’exécuter du code arbitraire à l’aide de fichiers RPM contrefaits.

  • CVE-2012-0815

    Correction d’un déni de service et d’une exécution possible de code à l’aide d’une valeur négative pour l’emplacement de zone dans des fichiers RPM contrefaits.

  • CVE-2012-0060 et CVE-2012-0061

    Empêchement d’un déni de service (plantage) et éventuellement de l’exécution de code arbitraire à l’aide d’une balise de zone non valable dans des fichiers RPM.

Nous vous recommandons de mettre à jour vos paquets rpm.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 4.8.1-6+squeeze2 de rpm.