Bulletin d'alerte Debian

DSA-180-1 nis -- Fuite d'information

Date du rapport:

21 octobre 2002

Paquets concernés:

nis

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2002-1232.

Pour plus d'information:

Thorsten Kukuck a découvert un problème dans le programme ypserv qui fait partie des « Network Information Services » (NIS). Une fuite de mémoire dans toutes les versions de ypserv antérieures à 2.5, qui peuvent dès lors être la cible d'une attaque distante. Quand bien même un utilisateur malintentionné demanderait un fichier de référence (appelé map) inexistant, le serveur laisserait fuir des informations sur un ancien nom de domaine ou un ancien nom de fichier de référence.

Ce problème est corrigé dans la version 3.9-6.1 pour l'actuelle distribution stable (Woody), dans la version 3.8-2.1 pour l'ancienne distribution stable (Potato) et dans la version 3.9-6.2 pour la distribution instable (Sid).

Nous vous recommandons de mettre à jour votre paquet nis.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1.dsc; http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1.diff.gz; http://security.debian.org/pool/updates/main/n/nis/nis_3.8.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nis/nis_3.8-2.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1.dsc; http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1.diff.gz; http://security.debian.org/pool/updates/main/n/nis/nis_3.9.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/n/nis/nis_3.9-6.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.