Bulletin d'alerte Debian

DSA-033-1 analog -- Dépassement de tampon

Date du rapport:

7 mars 2001

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 2377.
Dans le dictionnaire CVE du Mitre : CVE-2001-0301.

Pour plus d'information:

L'auteur d'analog, Stephen Turner, a trouvé un dépassement de tampon dans toutes les versions of analog excepté celle 4.16. Un utilisateur malveillant pouvait utiliser une commande ALIAS pour construire des chaînes de caractères très longues dont la taille et les limites n'auraient pas été vérifiées. Ce bogue est particulièrement dangereux si l'interface de saisie (qui permet à n'importe qui d'exécuter le programme via un script CGI) est installée. Il ne semble pas y avoir d'exploitation connue à ce jour.

La correction a été portée sur la version d'analog de Debian 2.2. La version 4.01-1potato1 est corrigée.

Nous vous recommandons de mettre à jour immédiatement votre paquet analog.

Corrigé dans:

Debian 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/analog_4.01.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.dsc; http://security.debian.org/dists/stable/updates/main/source/analog_4.01-1potato1.diff.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_4.01-1potato1_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/analog_4.01-1potato1_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/analog_4.01-1potato1_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_4.01-1potato1_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_4.01-1potato1_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_4.01-1potato1_sparc.deb