Bulletin d'alerte Debian
DSA-158-1 gaim -- Exécution arbitraire d'un programme
- Date du rapport :
- 27 août 2002
- Paquets concernés :
- gaim
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 5574.
Dans le dictionnaire CVE du Mitre : CVE-2002-0989. - Plus de précisions :
-
Les développeurs de Gaim, un client de messagerie instantanée qui combine des réseaux différents, ont découvert une faille dans le code traitant les données hypertextes. Le navigateur « Manual » envoie une chaîne non sécurisée dans le shell sans échapper ou protéger convenablement les chaînes, ce qui permet à un assaillant d'exécuter arbitrairement des commandes sur la machine de l'utilisateur. Malheureusement, Gaim n'affiche pas le lien hypertexte avant que l'utilisateur n'ait cliqué dessus. Les utilisateurs qui utilisent d'autres navigateurs embarqués ne sont pas concernés par cette faille.
Ce problème a été corrigé dans la version 0.58-2.2 pour l'actuelle distribution stable (Woody) et dans la version 0.59.1-2 pour la distribution unstable (Sid). L'ancienne distribution stable (Potato) n'est pas concernée étant donnée qu'elle ne contient pas le programme Gaim.
La version corrigée de Gaim ne passe plus les commandes du navigateur « Manual » dans le shell. Les commandes contenant « %s » entre guillemets auront besoin d'être modifiées, pour ne plus contenir de guillemets. La commande du navigateur « Manual » peut être éditée dans l'onglet « General » de la boîte de dialogue « Preferences » qui est accessible en cliquant sur « Option » dans la fenêtre de démarrage ou dans « Tools » et ensuite « Preferences » depuis la barre de menu dans la fenêtre « buddy list ».
Nous vous recommandons de mettre à jour votre paquet gaim immédiatement.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.