[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] wml://security/2012/dsa-2578.wml



Salut,

Une annonce de sécurité a été publiée, par avance merci pour vos relectures.

Amicalement

David



#use wml::debian::translation-check translation="1.2" maintainer="David Prévot"
<define-tag description>Filtrage insuffisant de la ligne de commande rsync</define-tag>
<define-tag moreinfo>
<p>
James Clawson a découvert que rssh, une invite de commande
restreinte pour n'utiliser OpenSSH qu'avec scp, sftp, rdist et cvs,
ne filtrait pas correctement les options de la ligne de commande.

Cela pourrait être utilisé pour forcer l'exécution d'un script distant
et par conséquent permettre l'exécution de commande arbitraire.

Deux CVE ont été alloués.
</p>

<ul>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2251";>CVE-2012-2251</a>
<p>
Filtrage incorrect de la ligne de commande en utilisant le protocole rsync.

Il était par exemple possible de passer des
options dangereuses après un <q>--</q>.

La prise en charge du protocole rsync a été ajoutée dans un
correctif spécifique à Debian (et Fedora et Red Hat), donc le
programme amont n'est pas concerné par cette vulnérabilité.
</p></li>

<li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2252";>CVE-2012-2252</a>
<p>
Filtrage incorrect de l'option <q>--rsh</q> : le filtre empêchant l'utilisation
de l'option <q>--rsh=</q> n'empêchait pas de passer <q>--rsh</q>.

Le code amont est concerné par cette vulnérabilité.
</p></li>

</ul>

<p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.2-13squeeze2.</p>

<p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.3.3-6.</p>

<p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.3-6.</p>

<p>Nous vous recommandons de mettre à jour vos paquets rssh.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2578.data"
# $Id: dsa-2578.wml,v 1.1 2012-11-27 23:58:28 taffit Exp $

Attachment: signature.asc
Description: OpenPGP digital signature


Reply to: