Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2414-2 fex

Bulletin d'alerte Debian

DSA-2414-2 fex -- Vérification d'entrées manquante

Date du rapport :

25 février 2012

Paquets concernés :

fex

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-0869.

Plus de précisions :

Nicola Fioravanti a découvert que F*X, un service web pour transférer de très gros fichiers, ne vérifie pas correctement les paramètres d'entrée du script fup. Un attaquant peut utiliser ce défaut pour mener des attaques réfléchies par script intersite à l'aide de plusieurs paramètres de script.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 20100208+debian1-1+squeeze3.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 20120215-1.

Nous vous recommandons de mettre à jour vos paquets fex.