Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures. Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Filtrage insuffisant de la ligne de commande rsync</define-tag> <define-tag moreinfo> <p> James Clawson a découvert que rssh, une invite de commande restreinte pour n'utiliser OpenSSH qu'avec scp, sftp, rdist et cvs, ne filtrait pas correctement les options de la ligne de commande. Cela pourrait être utilisé pour forcer l'exécution d'un script distant et par conséquent permettre l'exécution de commande arbitraire. Deux CVE ont été alloués. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2251";>CVE-2012-2251</a> <p> Filtrage incorrect de la ligne de commande en utilisant le protocole rsync. Il était par exemple possible de passer des options dangereuses après un <q>--</q>. La prise en charge du protocole rsync a été ajoutée dans un correctif spécifique à Debian (et Fedora et Red Hat), donc le programme amont n'est pas concerné par cette vulnérabilité. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2012-2252";>CVE-2012-2252</a> <p> Filtrage incorrect de l'option <q>--rsh</q> : le filtre empêchant l'utilisation de l'option <q>--rsh=</q> n'empêchait pas de passer <q>--rsh</q>. Le code amont est concerné par cette vulnérabilité. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.2-13squeeze2.</p> <p>Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.3.3-6.</p> <p>Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.3-6.</p> <p>Nous vous recommandons de mettre à jour vos paquets rssh.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2012/dsa-2578.data" # $Id: dsa-2578.wml,v 1.1 2012-11-27 23:58:28 taffit Exp $
Attachment:
signature.asc
Description: OpenPGP digital signature