Bulletin d'alerte Debian

DSA-634-1 hylafax -- Faible validation des noms de domaine et d'utilisateur

Date du rapport :

11 janvier 2005

Paquets concernés :

hylafax

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2004-1182.

Plus de précisions :

Patrice Fournier a découvert une vulnérabilité dans le sous-système d'autorisation de hylafax, un système de fax client/serveur flexible. Un utilisateur local ou distant qui devine le contenu de la base de données hosts.hfaxd pourrait obtenir un accès non autorisé au système de fax.

Certaines installations de hylafax pourraient actuellement utiliser la faible validation des noms de domaine et d'utilisateur pour leurs utilisations surveillées. Par exemple, les entrées hosts.hfaxd habituelles sont :

  192.168.0
  username:uid:pass:adminpass
  user@host

Après une mise à jour, ces entrées doivent être modifiées pour pouvoir continuer à fonctionner. Les entrées correctes doivent être respectivement :

  192.168.0.[0-9]+
  username@:uid:pass:adminpass
  user@host

À moins que la correspondance du nom d'utilisateur avec un autre nom d'utilisateur (et pour les noms de domaine) soit désirée, la forme correcte de ces entrées doit inclure les délimiteurs et les marqueurs suivants :

  @192.168.0.[0-9]+$
  ^username@:uid:pass:adminpass
  ^user@host$

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé avec la version 4.1.1-3.1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 4.2.1-1.

Nous vous recommandons de mettre à jour votre paquet hylafax.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.dsc; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1-3.1.diff.gz; http://security.debian.org/pool/updates/main/h/hylafax/hylafax_4.1.1.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-doc_4.1.1-3.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_alpha.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_arm.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_i386.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_ia64.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_hppa.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_m68k.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_powerpc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_s390.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/hylafax/hylafax-client_4.1.1-3.1_sparc.deb; http://security.debian.org/pool/updates/main/h/hylafax/hylafax-server_4.1.1-3.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.