Bulletin d'alerte Debian
DSA-553-1 getmail -- Vulnérabilité liée aux liens symboliques
- Date du rapport :
- 27 septembre 2004
- Paquets concernés :
- getmail
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 272561.
Dans le dictionnaire CVE du Mitre : CVE-2004-0880, CVE-2004-0881. - Plus de précisions :
-
Un problème de sécurité a été découvert dans getmail, un collecteur de courrier POP3 et APOP. Un attaquant possédant un compte shell sur l'hôte victime pourrait utiliser getmail afin de réécrire n'importe quel fichier s'il tourne en tant que superutilisateur.
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 2.3.7-2.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.2.5-1.
Nous vous recommandons de mettre à jour votre paquet getmail.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.dsc
- http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.diff.gz
- http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.