Bulletin d'alerte Debian
DSA-316-1 nethack -- Dépassement de tampon et permissions incorrectes
- Date du rapport :
- 11 juin 2003
- Paquets concernés :
- nethack
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6806, Identifiant BugTraq 7953.
Dans le dictionnaire CVE du Mitre : CVE-2003-0358, CVE-2003-0359. - Plus de précisions :
-
Les paquets nethack et slashem sont vulnérables à un dépassement de tampon exploité via une option '-s' trop longue dans la ligne de commande. Cette faille de sécurité pouvait être utilisée par un attaquant pour rentrer dans le groupe games sur un système où nethack est installé.
De plus, quelques binaires du paquet nethack ont des permissions de groupe incorrectes, ce qui pouvait permettre à un utilisateur qui était dans le groupe games de remplacer ces binaires, permettant potentiellement de faire exécuter du code malveillant à d'autres utilisateurs quand ils utilisent nethack.
Notez que slashem n'a pas ce problème de permission CAN-2003-0359.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 3.4.0-3.0woody3.
Pour l'ancienne distribution stable (Potato), ces problèmes a été corrigés dans la version 3.3.0-7potato1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.4.1-1.
Nous vous recommandons de mettre à jour votre paquet nethack.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.0.6E4F8-4.0woody3.
Pour l'ancienne distribution stable (Potato), ces problèmes a été corrigés dans la version 0.0.5E7-3potato1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.0.6E4F8-6.
Nous vous recommandons de mettre à jour votre paquet slashem.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.dsc
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.diff.gz
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.3.0-7potato1_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.dsc
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.diff.gz
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/n/nethack/nethack_3.4.0-3.0woody3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_alpha.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_arm.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_arm.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_arm.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_arm.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_i386.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_i386.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_i386.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_i386.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_i386.deb
- HPPA:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_hppa.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_m68k.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mips.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mips.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mips.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mips.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_mipsel.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_powerpc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_s390.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_s390.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_s390.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_s390.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/n/nethack/nethack-common_3.4.0-3.0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-qt_3.4.0-3.0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-x11_3.4.0-3.0woody3_sparc.deb
- http://security.debian.org/pool/updates/main/n/nethack/nethack-gnome_3.4.0-3.0woody3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.