Bulletin d'alerte Debian

DSA-082-1 xvt -- Dépassement de tampon

Date du rapport :

18 octobre 2001

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2964.
Dans le dictionnaire CVE du Mitre : CVE-2001-1561.

Plus de précisions :

Christophe Bailleux a rapporté sur le suivi des bogues que Xvt était vulnérable à un dépassement de tampon dans la manipulation de ses arguments. Puisque Xvt est installé avec un setuid root, il était possible à un utilisateur normal de passer des arguments finement choisis à xvt pour qu'il exécute un shell root.

Ce problème a été résolu par le responsable du paquet dans la version 2.1-13 de xvt pour Debian unstable et 2.1-13.0potato.1 pour la version stable de Debian GNU/Linux 2.2.

Nous vous recommandons de mettre à jour votre paquet xvt immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/xvt_2.1-13.0potato.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xvt_2.1-13.0potato.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xvt_2.1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xvt_2.1-13.0potato.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xvt_2.1-13.0potato.1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xvt_2.1-13.0potato.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xvt_2.1-13.0potato.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xvt_2.1-13.0potato.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xvt_2.1-13.0potato.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.