Bulletin d'alerte Debian
DSA-885-1 openvpn -- Plusieurs vulnérabilités
- Date du rapport :
- 7 novembre 2005
- Paquets concernés :
- openvpn
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 336751, Bogue 337334.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15239.
Dans le dictionnaire CVE du Mitre : CVE-2005-3393, CVE-2005-3409. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans OpenVPN, un démon de réseau privé virtuel (« VPN »). Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2005-3393
Une vulnérabilité dans le format des chaînes de caractères a été découverte et pouvait permettre l'exécution de code arbitraire sur le système client.
- CVE-2005-3409
Un déréférencement de pointeur nul a été découvert et pouvait être utilisé pour planter le service.
L'ancienne distribution stable (Woody) ne contient pas openvpn.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.0-1sarge2.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.0.5-1.
Nous vous recommandons de mettre à jour votre paquet openvpn.
- CVE-2005-3393
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2.dsc
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/openvpn/openvpn_2.0-1sarge2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.