S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 avril 2004
N° CERTA-2004-AVI-146-005
Affaire suivie par: CERT-FR
le 30 avril 2004

Avis du CERT-FR

Objet: Vulnérabilité de GNU Midnight Commander

Gestion du document

Référence CERTA-2004-AVI-146-005
Titre Vulnérabilité de GNU Midnight Commander
Date de la première version 30 avril 2004
Date de la dernière version 01 juin 2004
Source(s) Avis de sécurité Debian DSA-497
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de GNU Midnight Commander (mc).

Résumé

Plusieurs vulnérabilités dans GNU Midnight Commander (mc) permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

Description

GNU Midnight Commander (mc) est un gestionnaire de fichiers destiné aux systèmes d'exploitation libres.
Plusieurs vulnérabilités ont été découvertes :

  • Multiples vulnérabilités de type débordement de mémoire (CAN-2004-0226) ;
  • une vulnérabilité de type chaîne de format (CAN-2004-0232) ;
  • une vulnérabilité dans la création des fichiers et répertoires temporaires (CAN-2004-0231).
Ces vulnérabilités permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance sur la machine victime.

Solution

Appliquer le correctif fourni par votre éditeur (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 30 avril 2004
    version initiale.
    le 03 mai 2004
    ajout de l'avis de sécurité RedHat.
    le 12 mai 2004
    ajout de la référence au bulletin de sécurité FreeBSD.
    le 17 mai 2004
    ajout de la référence au bulletin de sécurité SUSE.
    le 26 mai 2004
    ajout référence au bulletin de sécurité Red Hat Enterprise.
    le 01 juin 2004
    ajout référence au bulletin de sécurité Gentoo.