Bulletin d'alerte Debian

DSA-1904-1 wget -- Validation des entrées insuffisante

Date du rapport :

9 octobre 2009

Paquets concernés :

wget

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 549293.
Dans le dictionnaire CVE du Mitre : CVE-2009-3490.

Plus de précisions :

Daniel Stenberg a découvert que Wget, un utilitaire réseau qui permet de récupérer des fichiers sur le web avec les protocoles HTTP(S) et FTP, est vulnérable aux attaques de préfixe NULL sur les certificats SSL et TLS (Null Prefix Attacks Against SSL/TLS Certificates) publiées lors de la conférence Blackhat il y a quelques temps. Cela permet à un attaquant de réaliser des attaques non détectées en homme au milieu à l'aide d'un certificat X.509 ITU-T contrefait contenant un octet NULL injecté dans le champ Common Name.

Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.10.2-2+etch1.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.11.4-2+lenny1.

Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.12-1.

Nous vous recommandons de mettre à jour vos paquets wget.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1.diff.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2.orig.tar.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_ia64.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wget/wget_1.10.2-2+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Source :: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1.dsc; http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4.orig.tar.gz; http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_arm.deb
ARM EABI:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/wget/wget_1.11.4-2+lenny1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.