Bulletin d'alerte Debian
DSA-034-1 ePerl -- Exploitation de root à distance
- Date du rapport :
- 7 mars 2001
- Paquets concernés :
- eperl
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2464.
Dans le dictionnaire CVE du Mitre : CVE-2001-0458. - Plus de précisions :
- Fumitoshi Ukai et Denis Barbier ont trouvé des
dépassements de tampon potentiels dans notre version d'ePerl telle qu'elle
est distribuée dans toutes nos versions.
Quand eperl est installé avec les privilèges de root, il peut modifier le propriétaire des scripts. Même si Debian distribue le programme avec une autre identité, c'est une fonctionnalité pratique que des gens peuvent activer localement. Si le programme est invoqué ainsi /usr/lib/cgi-bin/nph-eperl, les bogues peuvent mener à une exploitation à distance.
La version 2.2.14-0.7potato2 corrige ceci ; nous vous recommandons de mettre à jour immédiatement votre paquet eperl.
- Corrigé dans :
-
Debian 2.2 (potato)
- Source :
-
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14-0.7potato2.dsc
-
http://security.debian.org/dists/stable/updates/main/source/eperl_2.2.14.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/eperl_2.2.14-0.7potato2_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/eperl_2.2.14-0.7potato2_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/eperl_2.2.14-0.7potato2_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/eperl_2.2.14-0.7potato2_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eperl_2.2.14-0.7potato2_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/eperl_2.2.14-0.7potato2_sparc.deb