Bulletin d'alerte Debian

DSA-434-1 gaim -- Plusieurs vulnérabilités

Date du rapport:

5 février 2004

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 9489.
Dans le dictionnaire CVE du Mitre : CVE-2004-0005, CVE-2004-0006, CVE-2004-0007, CVE-2004-0008.

Pour plus d'information:

Stefan Esser a découvert plusieurs problèmes de sécurité dans Gaim, un client de messagerie instantanée multiprotocole. Certaines ne s'appliquent pas à la version de Debian stable mais affectent au moins la distribution instable. Les problèmes ont été regroupés par le projet Common Vulnerabilities and Exposures ainsi :

CAN-2004-0005
Lorsque le gestionnaire Yahoo Messenger décode une valeur octale pour les fonctions de notifications de courriels, deux types de dépassements peuvent se produire. Lorsque le décodeur MIME décode une chaîne de caractères encodée imprimable pour la notification de courriel, deux autres types de dépassements peuvent se produire. Ces problèmes n'affectent que la version de la distribution instable ;
CAN-2004-0006
Lors de la lecture des témoins contenus dans l'en-tête de réponse HTTP d'une connexion web Yahoo, un dépassement de tampon peut se produire. Lors de la lecture de la page de connexion de Yahoo, le protocole YMSG dépasse des tampons dans la pile si le page web renvoie des valeurs hors champ. Lors de la découpe d'une URL, un dépassement dans la pile peut se produire. Ces problèmes n'affectent que la version de la distribution instable.

Lorsqu'un nom de clé trop grand est lu dans un paquet Yahoo Messenger, un dépassement dans la pile peut se produire. Lorsque GAIM est configuré pour utiliser un proxy pour ses connexions HTTP au serveur, un proxy HTTP malintentionné peut exploiter cette vulnérabilité. Ces problèmes affectent toutes les versions fournies dans Debian. Toutefois, la connexion à Yahoo ne fonctionne pas dans la version de Debian stable ;
CAN-2004-0007
En interne, des données sont copiées entre deux emplacements dans un tampon de taille fixe dans la pile sans vérification de taille. Ce problème n'affecte que la version de la distribution instable ;
CAN-2004-0008
Lors de l'allocation de la mémoire pour les paquets AIM/Oscar DirectIM, un dépassement d'entier peut se produire, résultant en un dépassement sur le tas. Ce problème n'affecte que la version de la distribution instable.

Pour la distribution stable actuelle (Woody), ces problèmes sont corrigés dans la version 0.58-2.4.

Pour la distribution instable (Sid), ces problèmes sont corrigés dans la version 0.75-2.

Nous vous recommandons de mettre à jour votre paquet gaim.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.dsc; http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4.diff.gz; http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_alpha.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_alpha.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_arm.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_arm.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_i386.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_i386.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_ia64.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_ia64.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_hppa.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_hppa.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_m68k.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_m68k.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mips.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mips.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_s390.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_s390.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.4_sparc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.4_sparc.deb; http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) polski Русский (Russkij) svenska

Comment configurer la langue par défaut du document

Pour signaler un problème sur le site web, envoyez un courriel en anglais à debian-www@lists.debian.org ou en français à debian-l10n-french@lists.debian.org. Pour obtenir d'autres informations, référez-vous à la page contact de Debian.