Bulletin d'alerte Debian

INN -- Dépassement de tampon dans le programme INN inews

Date du rapport :

7 septembre 1999

Paquets concernés :

inewsinn
inn-dev
inn

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-1999-0705.

Plus de précisions :

Nous avons un rapport à propos d'un dépassement de tampon dans le programme inews fourni par le serveur de INN news. Ce programme est utilisé localement par des clients pour alimenter en article le serveur. Pour être capable de se connecter au serveur d'actualités par une socket de type Unix, le programme a besoin d'être exécuté par quelqu'un du groupe news. En exploitant ce bogue, des utilisateurs locaux peuvent obtenir les privilèges du groupe news. Une fois introduits, ils peuvent modifier la configuration du serveur INN ainsi que détruire les bases de données et les fichiers concernant les actualités. Nous recommandons de mettre à jour votre paquet inews-inn immédiatement.

Corrigé dans :

Source :: http://security.debian.org/dists/slink/updates/source/inn_1.7.2-4.1.diff.gz; http://security.debian.org/dists/slink/updates/source/inn_1.7.2-4.1.dsc; http://security.debian.org/dists/slink/updates/source/inn_1.7.2.orig.tar.gz
i386:: http://security.debian.org/dists/slink/updates/binary-i386/inewsinn_1.7.2-4.1_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/inn-dev_1.7.2-4.1_i386.deb; http://security.debian.org/dists/slink/updates/binary-i386/inn_1.7.2-4.1_i386.deb
m68k:: http://security.debian.org/dists/slink/updates/binary-m68k/inewsinn_1.7.2-4.1_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/inn-dev_1.7.2-4.1_m68k.deb; http://security.debian.org/dists/slink/updates/binary-m68k/inn_1.7.2-4.1_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/inewsinn_1.7.2-4.1_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/inn-dev_1.7.2-4.1_sparc.deb; http://security.debian.org/dists/slink/updates/binary-sparc/inn_1.7.2-4.1_sparc.deb