Bulletin d'alerte Debian

DSA-307-1 gps -- Plusieurs failles

Date du rapport :
27 mai 2003
Paquets concernés :
gps
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7736.
Dans le dictionnaire CVE du Mitre : CVE-2003-0361, CVE-2003-0360, CVE-2003-0362.
Plus de précisions :

gPS est une application graphique permettant de voir les processus système. Dans la version 1.1.0 du paquet gps, plusieurs failles de sécurité ont été corrigées, comme détaillé dans le journal de changements :

  • un correctif concernant un bogue dans la politique d'acceptation des sources de connexion rgpsp (il permettait à n'importe quelle machine de se connecter même si le fichier /etc/rgpsp.conf disait le contraire). Il est maintenant opérationnel mais pour tout réseau de production, je suggère d'utiliser le filtrage IP pour renforcer cette politique (comme ipchains ou iptables) ;
  • plusieurs dépassements de tampon possibles ont été corrigés. Merci à Stanislav Ievlev de ALT-Linux pour en avoir indiqué un grand nombre ;
  • une correction dans le formatage des paramètres de la ligne de commande dans le protocole rgpsp (des lignes de commande avec des retours à la ligne pouvaient planter le protocole) ;
  • un dépassement de tampon corrigé qui causait une erreur de segmentation dans rgpsp quand la ligne de commande liée au processus était trop longue (> 128 caractères) [Linux seulement].

Tous ces problèmes affectent le paquet gps Debian version 0.9.4-1 pour Debian Woody. Debian Potato contient aussi un paquet gps version 0.4.1-2 mais il n'est pas affecté par ces problèmes, vu que la fonctionnalité en question n'est pas implémentée dans cette version.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.9.4-1woody1.

L'ancienne distribution stable (Potato) n'est pas affectée par ces problèmes.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.0-1.

Nous vous recommandons de mettre à jour votre paquet gps.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.dsc
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.diff.gz
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_alpha.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_arm.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_i386.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_ia64.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_hppa.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_m68k.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mips.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mipsel.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_powerpc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_s390.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_sparc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.