Informations de sécurité / 2004 / Informations sur la sécurité -- DSA-407-1 ethereal

Bulletin d'alerte Debian

DSA-407-1 ethereal -- Dépassements de tampon

Date du rapport :

5 janvier 2004

Paquets concernés :

ethereal

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9248, Identifiant BugTraq 9249.
Dans le dictionnaire CVE du Mitre : CVE-2003-0925, CVE-2003-0926, CVE-2003-0927, CVE-2003-1012, CVE-2003-1013.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes par les auteurs d'ethereal, un analyseur de trafic réseau. Le projet Common Vulnerabilities and Exposures a identifié les problèmes suivants :

• CAN-2003-0925

  Un dépassement de tampon permet à des attaquants distants de causer un déni de service, et potentiellement d'exécuter n'importe quel code par l'intermédiaire d'une chaîne GTP MSISDN mal formée ;

• CAN-2003-0926

  A l'aide de certains paquets ISAKMP ou MEGACO, des attaquants distants peuvent causer un déni de service (plantage) ;

• CAN-2003-0927

  Un dépassement de tampon dans le tas permet à des attaquants distants de causer un déni de service (plantage), et potentiellement d'exécuter n'importe quel code par l'intermédiaire du dissecteur SOCKS ;

• CAN-2003-1012

  Le dissecteur SMB permet à des attaquants distants de causer un déni de service en utilisant des paquets SMB mal formés qui causent une erreur de segmentation durant le traitement des paquets sélectionnés ;

• CAN-2003-1013

  Le dissecteur Q.931 permet à des attaquants distants de causer un déni de service (plantage) en utilisant un paquet Q.931 mal formé qui cause un appel de pointeur nul.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 0.9.4-1woody6.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.10.0-1.

Nous vous recommandons de mettre à jour vos paquets ethereal et tethereal.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6.dsc

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6.diff.gz

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_alpha.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_alpha.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_alpha.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_arm.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_arm.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_arm.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_i386.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_i386.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_i386.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_ia64.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_ia64.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_ia64.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_hppa.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_hppa.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_hppa.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_m68k.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_m68k.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_m68k.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_mips.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_mips.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_mips.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_mipsel.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_mipsel.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_mipsel.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_powerpc.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_powerpc.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_powerpc.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_s390.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_s390.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_s390.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/e/ethereal/ethereal_0.9.4-1woody6_sparc.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-common_0.9.4-1woody6_sparc.deb

http://security.debian.org/pool/updates/main/e/ethereal/ethereal-dev_0.9.4-1woody6_sparc.deb

http://security.debian.org/pool/updates/main/e/ethereal/tethereal_0.9.4-1woody6_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.