Bulletin d'alerte Debian

netscape navigator/communicator -- Exploitation à distance

Date du rapport :

1^er septembre 2000

Paquets concernés :

navigator, communicator

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Les vulnérabilités suivantes sont présentes dans le paquet Netscape Communicator/Navigator :

Vulnérabilité de surécriture dans la zone du commentaire de JPEG dans Netscape Communicator :
- exécution arbitraire de code dans le champ de commentaire d'une image JPEG,
- les versions de Netscape Communicator/Navigator allant de la 4.0 à la 4.73 sont vulnérables ;
Vulnérabilité des sockets d'écoute des différents fournisseurs de machine virtuelle java ;
Vulnérabilité de lecture d'URL de Netscape Communicator :
- les points 2 et 3 sont connus sous le terme de vulnérabilité Brown Orifice,
- cela peut être exploité pour afficher le contenu de votre ordinateur à tout vent sur Internet, autorisant à l'utilisateur la lecture des fichiers,
- les versions Netscape Communicator/Navigator 4.0 à 4.74 sont vulnérables.

Nous recommandons aux utilisateurs de Netscape Communicator/Navigator de passer à la version 4.75. Les nouveaux paquets sont disponibles sous forme de source ainsi que pour les machines Intel ia32 sous Debian 2.2 (Potato). Notez que les nouveaux paquets n'enlèvent pas les paquets existants de Communicator/Navigator ; vous devez enlever manuellement toutes les anciennes versions installées de Communicator/Navigator.

Il y a plusieurs méthodes pour supprimer les paquets netscape. Une manière rapide consiste à exécuter apt-get remove netscape-base-473, en substituant 473 par 406, 407,408, 45, 451, 46, 461, 47, ou 472 si nécessaire. Si vous n'avez pas apt-get, vous pouvez utiliser dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473, en substituant encore une fois par toutes les versions que vous pouvez avoir installées. Vous pouvez également supprimer les paquets par l'intermédiaire de dselect.

Si vous avez « deb http://security.debian.org/ potato/updates main contrib non-free » dans votre /etc/apt/sources.list, il vous suffit de lancer « apt-get update ; apt-get install communicator » pour installer le paquet communicator dans son intégralité (incluant courrier et nouvelles) ou « apt-get update ; apt-get install navigator » pour installer uniquement le navigateur. Une installation manuelle typique inclut communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4, et netscape-java-475.

Corrigé dans :

Source :: http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb