Bulletin d'alerte Debian
DSA-1477-1 yarssr -- Vérifications d'entrées manquantes
- Date du rapport :
- 27 janvier 2008
- Paquets concernés :
- yarssr
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2007-5837.
- Plus de précisions :
-
Duncan Gilmore a découvert qu'yarssr, un collecteur et lecteur de flux de nouvelles, ne réalisait pas de vérification suffisante des entrées. Cela peut conduire à l'exécution de commandes de shell arbitraires si un contenu mal formé est lu.
À cause de limitations techniques des scripts de gestion des archives, le correctif pour l'ancienne distribution stable (Sarge) doit être repoussé de quelques jours.
Pour la distribution stable (Etch), ce problème a été corrigé dans la version 0.2.2-1etch1.
Nous vous recommandons de mettre à jour vos paquets yarssr.
- Corrigé dans :
-
Debian GNU/Linux 4.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.dsc
- http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.