Informations de sécurité / 2001 / Informations sur la sécurité -- DSA-085-1 nvi

Bulletin d'alerte Debian

DSA-085-1 nvi -- Chaîne de format vulnérable

Date du rapport :

20 octobre 2001

Paquets concernés :

nvi, nvi-m17n

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Takeshi Uno a trouvé une vulnérabilité stupide de chaîne de format dans toutes les versions de nvi (aussi bien dans la version originale que dans les versions traduites). Quand un nom de fichier est enregistré, il doit s'afficher sur l'écran. La routine exécutant cette opération ne protégeait pas les chaînes de format.

Ce problème est résolu dans la version 1.79-16a.1 de nvi et 1.79+19991117-2.3 de nvi-m17n pour la version stable de Debian GNU/Linux 2.2.

Même si nous ne pensons pas que ceci permette d'accéder au compte d'un autre utilisateur, à moins que ce dernier ne soit stupide, nous vous recommandons de mettre à jour votre paquet nvi.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117-2.3.diff.gz

http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117-2.3.dsc

http://security.debian.org/dists/stable/updates/main/source/nvi-m17n_1.79+19991117.orig.tar.gz

http://security.debian.org/dists/stable/updates/main/source/nvi_1.79-16a.1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/nvi_1.79-16a.1.dsc

http://security.debian.org/dists/stable/updates/main/source/nvi_1.79.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/dists/stable/updates/main/binary-all/nvi-m17n-common_1.79+19991117-2.3_all.deb

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi-m17n-canna_1.79+19991117-2.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi-m17n_1.79+19991117-2.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/nvi_1.79-16a.1_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/nvi-m17n-canna_1.79+19991117-2.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/nvi-m17n_1.79+19991117-2.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/nvi_1.79-16a.1_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/nvi-m17n-canna_1.79+19991117-2.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/nvi-m17n_1.79+19991117-2.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/nvi_1.79-16a.1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi-m17n-canna_1.79+19991117-2.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi-m17n_1.79+19991117-2.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/nvi_1.79-16a.1_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi-m17n-canna_1.79+19991117-2.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi-m17n_1.79+19991117-2.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/nvi_1.79-16a.1_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi-m17n-canna_1.79+19991117-2.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi-m17n_1.79+19991117-2.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/nvi_1.79-16a.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.