Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de GNU Midnight Commander (mc).
Résumé
Plusieurs vulnérabilités dans GNU Midnight Commander (mc) permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.
Description
GNU Midnight Commander (mc) est un gestionnaire de fichiers destiné aux
systèmes d'exploitation libres.
Plusieurs vulnérabilités ont été découvertes :
- Multiples vulnérabilités de type débordement de mémoire (CAN-2004-0226) ;
- une vulnérabilité de type chaîne de format (CAN-2004-0232) ;
- une vulnérabilité dans la création des fichiers et répertoires temporaires (CAN-2004-0231).
Ces vulnérabilités permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la machine victime.
Solution
Appliquer le correctif fourni par votre éditeur (cf. section Documentation).
Documentation
- Avis de sécurité Debian DSA-497 http://www.debian.org/security/2004/dsa-497
- Avis de sécurité FreeBSD du 02 mai 2004 : http://www.vuxml.org/freebsd/
- Avis de sécurité Gentoo GLSA 200405-21 du 26 mai 2004 : http://www.gentoo.org/security/en/glsa/glsa-200405-21.xml
- Avis de sécurité Mandrake MDKSA-2004:039 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:039
- Avis de sécurité RedHat Red Hat Enterprise et Advanced Workstation RHSA-2004:172 : Red Hat 9 RHSA-2004:173 : http://rhn.redhat.com/errata/RHSA-2004-172.html
- Avis de sécurité RedHat Red Hat Enterprise et Advanced Workstation RHSA-2004:172 : Red Hat 9 RHSA-2004:173 : http://rhn.redhat.com/errata/RHSA-2004-173.html
- Avis de sécurité SUSE SuSE-SA:2004:012 du 14 mai 2004 : http://www.suse.com/de/security/2004_12_mc.html
- Red Hat 9 RHSA-2004:173 : http://rhn.redhat.com/errata/RHSA-2004-173.html
- Red Hat Enterprise et Advanced Workstation RHSA-2004:172 : http://rhn.redhat.com/errata/RHSA-2004-172.html
- Site Internet de GNU Midnight Commander : http://www.ibiblio.org/mc/
