Bulletin d'alerte Debian
DSA-294-1 gkrellm-newsticker -- Apostrophes manquantes et analyseur incomplet
- Date du rapport :
- 23 avril 2003
- Paquets concernés :
- gkrellm-newsticker
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7414.
Dans le dictionnaire CVE du Mitre : CVE-2003-0205, CVE-2003-0206. - Plus de précisions :
-
Brian Campbell a découvert deux problèmes de sécurité dans gkrellm-newsticker, un ajout logiciel pour le programme de supervision du système gkrellm, qui fournit un fil de nouvelles en se basant sur les fichiers RDF. Le projet Common Vulnerabilities and Exposures a identifié les problèmes suivants :
- CAN-2003-0205
- Il peut démarrer un navigateur web du choix de l'utilisateur quand le titre d'une nouvelle est sélectionné en utilisant l'URI donné par le fil RDF. Cependant, des caractères shell spéciaux ne sont pas protégés correctement, ce qui permet à un serveur de RDF malveillant d'exécuter n'importe quelle commande shell sur les machines clientes ;
- CAN-2003-0206
- Il plante tout le système gkrellm si le titre ou le lien ne tient pas sur une seule ligne. Un serveur malveillant pouvait alors lancer un déni de service.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.3-3.1.
L'ancienne distribution stable (Potato) n'est pas affectée étant donné qu'elle ne contient pas le paquet gkrellm-newsticker.
Pour la distribution instable (Sid), ces problèmes ne sont pas encore corrigés.
Nous vous recommandons de mettre à jour votre paquet gkrellm-newsticker.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.