Bulletin d'alerte Debian
DSA-513-1 log2mail -- Format des chaînes de caractères
- Date du rapport :
- 3 juin 2004
- Paquets concernés :
- log2mail
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 10460.
Dans le dictionnaire CVE du Mitre : CVE-2004-0450. - Plus de précisions :
-
jaguar@felinemenace.org a découvert une faille de format de chaînes de caractères dans log2mail, pour laquelle un utilisateur capable d'enregistrer un message spécialement créé dans un fichier de log géré par log2mail (par exemple, via syslog) pouvait provoquer l'exécution de code arbitraire, avec les privilèges du processus log2mail. Par défaut, ce processus est lancé en tant qu'utilisateur « log2mail », qui est membre du groupe « adm » (qui a accès en lecture aux fichiers de log du système).
CAN-2004-0450 : faille de sécurité de chaînes de caractères de log2mail via syslog(3) dans printlog()
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.2.5.2.
Pour la distribution instable (Sid), ce problème sera bientôt corrigé.
Nous vous recommandons de mettre à jour votre paquet log2mail.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.dsc
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.tar.gz
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/log2mail/log2mail_0.2.5.2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
