Debians sikkerhedsbulletin

DSA-080-1 htdig -- uautoriseret adgang til data

Rapporteret den:
17. okt 2001
Berørte pakker:
htdig
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2001-0834.
Yderligere oplysninger:
Nergal rapporterede en særbarhed i htsearch-programmet der distribueres som en del af ht://Dig-pakken, et indekserings og søgningssystem til små domæner og intranet. Ved at anvende tidligere versioner, var det muligt at kalde cgi-programmet med parameteret -c for at benytte en anden konfigurationsfil.

En ondsindet bruger kunne få htsearch til at bruge en fil som /dev/zero og dermed få serveren til at gå i en endeløs løkke, mens den prøvede at læse opsætningsparametre. Hvis brugeren har skriveadgang på serveren, kan vedkommende få programmet til at pege på filen, og hente enhver fil som webserverens brugerid har adgang til.

Problemet er rettet i version 3.1.5-2.0potato.1 i Debian GNU/Linux 2.2.

Vi anbefaler at du omgående opgraderer din htdig-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.