Bulletin d'alerte Debian

DSA-294-1 gkrellm-newsticker -- Apostrophes manquantes et analyseur incomplet

Date du rapport :
23 avril 2003
Paquets concernés :
gkrellm-newsticker
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7414.
Dans le dictionnaire CVE du Mitre : CVE-2003-0205, CVE-2003-0206.
Plus de précisions :

Brian Campbell a découvert deux problèmes de sécurité dans gkrellm-newsticker, un ajout logiciel pour le programme de supervision du système gkrellm, qui fournit un fil de nouvelles en se basant sur les fichiers RDF. Le projet Common Vulnerabilities and Exposures a identifié les problèmes suivants :

CAN-2003-0205
Il peut démarrer un navigateur web du choix de l'utilisateur quand le titre d'une nouvelle est sélectionné en utilisant l'URI donné par le fil RDF. Cependant, des caractères shell spéciaux ne sont pas protégés correctement, ce qui permet à un serveur de RDF malveillant d'exécuter n'importe quelle commande shell sur les machines clientes ;
CAN-2003-0206
Il plante tout le système gkrellm si le titre ou le lien ne tient pas sur une seule ligne. Un serveur malveillant pouvait alors lancer un déni de service.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.3-3.1.

L'ancienne distribution stable (Potato) n'est pas affectée étant donné qu'elle ne contient pas le paquet gkrellm-newsticker.

Pour la distribution instable (Sid), ces problèmes ne sont pas encore corrigés.

Nous vous recommandons de mettre à jour votre paquet gkrellm-newsticker.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.