Bulletin d'alerte Debian

DSA-083-1 procmail -- Signal de terminaison non sécurisé

Date du rapport:

18 octobre 2001

Paquets concernés:

procmail

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2001-0905.

Pour plus d'information:

En utilisant de vieilles versions de procmail, on pouvait faire planter procmail en lui envoyant un signal. Sur les systèmes où procmail est installé avec le setuid, il est possible d'utiliser cette faille pour obtenir des privilèges indus.

Ce problème a été résolu dans la version 3.20 par le responsable du paquet, inclus dans Debian unstable et rétroporté pour la version 3.15.2 qui est disponible dans la version stable de Debian GNU/Linux 2.2. .

Nous vous recommandons de mettre à jour votre paquet procmail immédiatement.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/procmail_3.15.2-1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/procmail_3.15.2-1.dsc; http://security.debian.org/dists/stable/updates/main/source/procmail_3.15.2.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/procmail_3.15.2-1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/procmail_3.15.2-1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/procmail_3.15.2-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/procmail_3.15.2-1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/procmail_3.15.2-1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/procmail_3.15.2-1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.