Bulletin d'alerte Debian

DSA-259-1 qpopper -- Usurpation des droits de l'utilisateur mail

Date du rapport:

12 mars 2003

Paquets concernés:

qpopper

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2003-0143.

Pour plus d'information:

Florian Heinz heinz@cronon-ag.de a posté à la liste de diffusion de Bugtraq une exploitation pour qpopper basé sur un bogue dans l'implémentation de vsnprintf. L'exploitation donnée en exemple demande juste un compte utilisateur valide et son mot de passe. Elle fait dépasser la taille d'une chaîne de caractères dans la fonction pop_msg() pour obtenir les privilèges de l'utilisateur mail et un interpréteur de commande sur le système. Vu que la fonction Qvsnprintf est utilisée autre part dans qpopper, d'autres exploitations sont possibles.

Le paquet qpopper dans Debian 2.2 (Potato) n'inclut pas l'implémentation vulnérable de snprintf. Pour Debian 3.0 (Woody) un paquet à jour est disponible dans la version 4.0.4-2.woody.3. Les utilisateurs utilisant une version autre que celle de Debian devraient mettre à jour avec la version 4.0.4-9 ou plus récente. Nous vous recommandons de mettre à jour votre paquet qpopper immédiatement.

Corrigé dans:

Debian GNU/Linux 3.0 (stable)

Source :: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.diff.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4.orig.tar.gz; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3.dsc
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_alpha.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_arm.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_arm.deb
hppa (HP PA RISC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_hppa.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_hppa.deb
i386 (Intel ia32):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_i386.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_i386.deb
ia64 (Intel ia64):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_ia64.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_ia64.deb
m68k (Motorola Mc680x0):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_m68k.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_m68k.deb
mips (MIPS (Big Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mips.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mips.deb
mipsel (MIPS (Little Endian)):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_mipsel.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_mipsel.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_powerpc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_s390.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_s390.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/q/qpopper/qpopper-drac_4.0.4-2.woody.3_sparc.deb; http://security.debian.org/pool/updates/main/q/qpopper/qpopper_4.0.4-2.woody.3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.