Bulletin d'alerte Debian

DSA-1477-1 yarssr -- Vérifications d'entrées manquantes

Date du rapport :
27 janvier 2008
Paquets concernés :
yarssr
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-5837.
Plus de précisions :

Duncan Gilmore a découvert qu'yarssr, un collecteur et lecteur de flux de nouvelles, ne réalisait pas de vérification suffisante des entrées. Cela peut conduire à l'exécution de commandes de shell arbitraires si un contenu mal formé est lu.

À cause de limitations techniques des scripts de gestion des archives, le correctif pour l'ancienne distribution stable (Sarge) doit être repoussé de quelques jours.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 0.2.2-1etch1.

Nous vous recommandons de mettre à jour vos paquets yarssr.

Corrigé dans :

Debian GNU/Linux 4.0 (stable)

Source :
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.diff.gz
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2.orig.tar.gz
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.