Bulletin d'alerte Debian
DSA-468-1 emil -- Plusieurs failles de sécurité
- Date du rapport :
- 24 mars 2004
- Paquets concernés :
- emil
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9974.
Dans le dictionnaire CVE du Mitre : CVE-2004-0152, CVE-2004-0153. - Plus de précisions :
-
Ulf Härnhammar a découvert un nombre de failles de sécurité dans emil, un filtre pour convertir des messages en courriels. Les failles de sécurité sont de deux types :
- CAN-2004-0152
Des dépassements de tampon dans (1) la fonction encode_mime, (2) la fonction encode_uuencode et (3) la fonction decode_uuencode. Ces bogues pouvaient permettre à un courriel conçu dans cet objectif d'exécuter n'importe quel code fourni dans le message quand il est traduit par emil ;
- CAN-2004-0153
Des bogues dans les formats de chaînes de caractères dans certains messages d'erreur. L'exploitation potentielle de ces bogues n'a pas été établie et dépend probablement de la configuration.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.1.0-beta9-11woody1.
Pour la distribution instable (Sid), ces problèmes seront corrigés bientôt.
Nous vous recommandons de mettre à jour votre paquet emil.
- CAN-2004-0152
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1.dsc
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1.diff.gz
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/emil/emil_2.1.0-beta9-11woody1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.