Debians sikkerhedsbulletin
DSA-080-1 htdig -- uautoriseret adgang til data
- Rapporteret den:
- 17. okt 2001
- Berørte pakker:
- htdig
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2001-0834.
- Yderligere oplysninger:
-
Nergal rapporterede en særbarhed i htsearch-programmet der distribueres som en del af
ht://Dig-pakken, et indekserings og søgningssystem til små domæner og intranet.
Ved at anvende tidligere versioner, var det muligt at kalde cgi-programmet
med parameteret -c for at benytte en anden konfigurationsfil.
En ondsindet bruger kunne få htsearch til at bruge en fil som /dev/zero og dermed få serveren til at gå i en endeløs løkke, mens den prøvede at læse opsætningsparametre. Hvis brugeren har skriveadgang på serveren, kan vedkommende få programmet til at pege på filen, og hente enhver fil som webserverens brugerid har adgang til.
Problemet er rettet i version 3.1.5-2.0potato.1 i Debian GNU/Linux 2.2.
Vi anbefaler at du omgående opgraderer din htdig-pakke.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.