Bulletin d'alerte Debian
DSA-342-1 mozart -- Configuration des capacités de la messagerie non sécurisée
- Date du rapport :
- 7 juillet 2003
- Paquets concernés :
- mozart
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8125.
Dans le dictionnaire CVE du Mitre : CVE-2003-0538. - Plus de précisions :
-
mozart, une plate-forme de développement basée sur le langage Oz, inclut une configuration MIME qui spécifie quelle application Oz doit être utilisée par l'interpréteur Oz pour visualiser les données. Ceci signifie que les gestionnaires de fichiers, navigateurs web et autres programmes qui ont besoin d'accéder au fichier de configuration de la messagerie pouvaient automatiquement exécuter des programmes Oz téléchargés depuis des sources non officielles. Ainsi, un programme Oz malveillant pouvait exécuter n'importe quel code sous l'identité d'un utilisateur d'un programme client utilisant MIME si l'utilisateur choisissait un fichier (par exemple, un lien dans un navigateur web).
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 1.2.3.20011204-3woody1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.2.5.20030212-2.
Nous vous recommandons de mettre à jour votre paquet mozart.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.dsc
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mozart/mozart-doc-html_1.2.3.20011204-3woody1_all.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_i386.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_i386.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mozart/mozart_1.2.3.20011204-3woody1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozart/mozart-contrib_1.2.3.20011204-3woody1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.