Bulletin d'alerte Debian
DSA-348-1 traceroute-nanog -- Dépassements d'entier et de tampon
- Date du rapport :
- 11 juillet 2003
- Paquets concernés :
- traceroute-nanog
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7994.
Dans le dictionnaire CVE du Mitre : CVE-2003-0453. - Plus de précisions :
-
traceroute-nanog, une version améliorée du classique traceroute, contient un bogue de dépassement d'entier qui pouvait être exploité pour exécuter n'importe quel code. traceroute-nanog est à accès aux privilèges de root mais il les relâche immédiatement après avoir obtenu les sockets ICMP et IP en brut. Ainsi, l'exploitation de ce bogue ne donne accès qu'à ces sockets et pas aux privilèges de root.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 6.1.1-1.3.
Pour la distribution instable (Sid), ce problème va être corrigé bientôt. Allez voir le bogue n° 200875 de Debian.
Nous vous recommandons de mettre à jour votre paquet traceroute-nanog.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3.dsc
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3.diff.gz
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/t/traceroute-nanog/traceroute-nanog_6.1.1-1.3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.