Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2285-1 mapserver

Bulletin d'alerte Debian

DSA-2285-1 mapserver -- Plusieurs vulnérabilités

Date du rapport :

26 juillet 2011

Paquets concernés :

mapserver

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-2703, CVE-2011-2704.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans mapserver, une plate-forme pour mettre en ligne des données spatiales et des applications cartographiques interactives sur le web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2011-2703

  Protection insuffisante des entrées utilisateur, à plusieurs reprises. Cela pourrait conduire à des attaques par injection SQL au moyen de l'encodage de filtres OGC (dans les filtres WMS, WFS et SOS).

• CVE-2011-2704

  Absence de vérification de longueur dans le traitement de l'encodage de filtres OGC. Cela pourrait conduire à un débordement de mémoire tampon basée sur la pile et à l'exécution de code arbitraire.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 5.0.3-3+lenny7.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 5.6.5-2+squeeze2.

Pour les distributions testing (Squeeze) et unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets mapserver.