Bulletin d'alerte Debian
DSA-918-1 osh -- Erreur de programmation
- Date du rapport :
- 9 décembre 2005
- Paquets concernés :
- osh
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 338312.
Dans le dictionnaire CVE du Mitre : CVE-2005-3346, CVE-2005-3533. - Plus de précisions :
-
Plusieurs problèmes de sécurité ont été découverts dans osh, l'invite de commande d'opérateur destiné à exécuter des programmes définis dans un environnement privilégié. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2005-3346
Charles Stevenson a découvert un bogue dans la substitution de variables, permettant à un attaquant local d'obtenir une invite de commande avec les droits du superutilisateur.
- CVE-2005-3533
Solar Eclipse a découvert un dépassement de tampon lié à la taille du nom de répertoire, qui pouvait être utilisé pour exécuter du code arbitraire par exemple pour obtenir une invite de commande avec les droits du superutilisateur.
Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.7-11woody2.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.7-13sarge1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.7-15. Cependant, ce paquet a été enlevé de l'archive.
Nous vous recommandons de mettre à jour votre paquet osh.
- CVE-2005-3346
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2.dsc
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2.diff.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-11woody2_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1.dsc
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1.diff.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/osh/osh_1.7-13sarge1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.