Bulletin d'alerte Debian
DSA-2103-1 smbind -- Injection SQL
- Date du rapport :
- 5 septembre 2010
- Paquets concernés :
- smbind
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
On a découvert que smbind, un outil en PHP pour gérer les zones DNS de BIND, ne valide pas correctement les entrées. Un attaquant distant non authentifié pourrait exécuter des commandes SQL arbitraires ou obtenir un accès au compte de l'administrateur.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.4.7-3+lenny1.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.4.7-5, et migrera vers la distribution testing (Squeeze) prochainement.
Nous vous recommandons de mettre à jour votre paquet smbind (0.4.7-3+lenny1).
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.dsc
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.