Debian-Sicherheitsankündigung

htdig -- Entfernte Ausnutzung in htdig

Datum des Berichts:
09. Dez 1999
Betroffene Pakete:
htdig
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-1999-0978.
Weitere Informationen:

Die mit Debian GNU/Linux 2.1 ausgelieferte Version von htdig hat ein Problem beim Aufruf externer Programme zur Bearbeitung von nicht-HTML Dokumenten: Sie ruft das externe Programm mit dem Dokument als Parameter auf, prüft aber nicht auf Shell-Escape-Sequenzen. Dies kann ausgenutzt werden, indem Dateien mit Shell-Escape-Sequenzen im Dateinamen erzeugt werden, um beliebige Kommandos auf der Maschine, auf der htdig läuft, auszuführen.

Behoben in:
Quellcode:
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb