Bulletin d'alerte Debian

DSA-033-1 analog -- Dépassement de tampon

Date du rapport :
7 mars 2001
Paquets concernés :
analog
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2377.
Dans le dictionnaire CVE du Mitre : CVE-2001-0301.
Plus de précisions :
L'auteur d'analog, Stephen Turner, a trouvé un dépassement de tampon dans toutes les versions of analog excepté celle 4.16. Un utilisateur malveillant pouvait utiliser une commande ALIAS pour construire des chaînes de caractères très longues dont la taille et les limites n'auraient pas été vérifiées. Ce bogue est particulièrement dangereux si l'interface de saisie (qui permet à n'importe qui d'exécuter le programme via un script CGI) est installée. Il ne semble pas y avoir d'exploitation connue à ce jour.

La correction a été portée sur la version d'analog de Debian 2.2. La version 4.01-1potato1 est corrigée.

Nous vous recommandons de mettre à jour immédiatement votre paquet analog.

Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb