USN-885-1 : Vulnérabilités dans Transmission
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| transmission-cli | 1.06-0ubuntu6.1 | ||
| transmission-gtk | 1.06-0ubuntu6.1 | ||
| Ubuntu 8.10 : | |||
| transmission-cli | 1.34-0ubuntu2.3 | ||
| transmission-gtk | 1.34-0ubuntu2.3 | ||
| Ubuntu 9.04 : | |||
| transmission-cli | 1.51-0ubuntu3.1 | ||
| transmission-gtk | 1.51-0ubuntu3.1 | ||
| Ubuntu 9.10 : | |||
| transmission-cli | 1.75-0ubuntu2.2 | ||
| transmission-gtk | 1.75-0ubuntu2.2 | ||
| transmission-qt | 1.75-0ubuntu2.2 | ||
Après une mise à niveau standard du système vous devrez redémarrer Transmission pour apporter les modifications nécessaires.
Détails :
Il a été découvert que l’interface Web de Transmission était vulnérable aux attaques par falsifications de requêtes croisées entre sites (CSRF). Si un utilisateur était amené à ouvrir une page Web spécialement conçue dans un navigateur pendant que Transmission s’exécute, un attaquant pourrait déclencher des commandes dans Transmission. Ce problème a affecté Ubuntu 9.04. (CVE-2009-1757)
Dan Rosenberg a découvert que Transmission ne validait pas correctement ses données en entrée lors du traitement de fichiers torrent. Si un utilisateur était amené à ouvrir un fichier torrent spécialement conçu, un attaquant pourrait modifier des fichiers via une attaque par chemin d’accès malveillant. (CVE-2010-0012)
