Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-4008-1 wget

Bulletin d'alerte Debian

DSA-4008-1 wget -- Mise à jour de sécurité

Date du rapport :

28 octobre 2017

Paquets concernés :

wget

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-13089, CVE-2017-13090.

Plus de précisions :

Antti Levomaeki, Christian Jalio, Joonas Pihlaja et Juhani Eronen ont découvert deux dépassements de tampon dans le gestionnaire du protocole HTTP de l'outil de téléchargement Wget. Cela pourrait avoir pour conséquence l'exécution de code arbitraire lors de la connexion à un serveur HTTP malveillant.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.16-1+deb8u4.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.18-5+deb9u1.

Nous vous recommandons de mettre à jour vos paquets wget.