Bulletin d'alerte Debian

DSA-553-1 getmail -- Vulnérabilité liée aux liens symboliques

Date du rapport :
27 septembre 2004
Paquets concernés :
getmail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 272561.
Dans le dictionnaire CVE du Mitre : CVE-2004-0880, CVE-2004-0881.
Plus de précisions :

Un problème de sécurité a été découvert dans getmail, un collecteur de courrier POP3 et APOP. Un attaquant possédant un compte shell sur l'hôte victime pourrait utiliser getmail afin de réécrire n'importe quel fichier s'il tourne en tant que superutilisateur.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.3.7-2.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.2.5-1.

Nous vous recommandons de mettre à jour votre paquet getmail.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.dsc
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.diff.gz
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.