Bulletin d'alerte Debian
DSA-137-1 mm -- Fichiers temporaires non sécurisés
- Date du rapport :
- 30 juillet 2002
- Paquets concernés :
- mm
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5352.
Dans le dictionnaire CVE du Mitre : CVE-2002-0658. - Plus de précisions :
-
Marcus Meissner et Sebastian Krahmer ont découvert et corrigé un fichier temporaire vulnérable dans la bibliothèque de mémoire partagée mm. Cette faille peut être utilisée pour obtenir un accès root sur une machine sur laquelle Apache fonctionne ; Apache qui est relié à cette bibliothèque si l'accès shell pour l'utilisateur « www-data » est déjà disponible (ce qui peut aisément être provoqué au travers de PHP).
Ce problème a été corrigé dans la version source 1.2.0 de mm, qui sera mise à jour dans la distribution unstable lorsque ce bulletin sera publié. Les paquets corrigés pour Potato (Debian 2.2) et Woody (Debian 3.0) sont indiqués ci-dessous.
Nous vous recommandons de mettre à jour votre paquet libmm immédiatement et de relancer votre serveur Apache.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.dsc
- http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_alpha.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_alpha.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_arm.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_arm.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_arm.deb
- Intel ia32:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_i386.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_i386.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_m68k.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_m68k.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_sparc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_sparc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.dsc
- http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_alpha.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_alpha.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_arm.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_arm.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_arm.deb
- Intel ia32:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_i386.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_i386.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_i386.deb
- Intel ia64:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_ia64.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_ia64.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_hppa.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_hppa.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mips.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mips.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_powerpc.deb
- IBM S/390 architecture:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_s390.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_s390.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.