Debian-Sicherheitsankündigung
DSA-080-1 htdig -- Unautorisierter Zugang zu Daten
- Datum des Berichts:
- 17. Okt 2001
- Betroffene Pakete:
- htdig
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2001-0834.
- Weitere Informationen:
-
Nergal hat eine Verwundbarkeit im htsearch-Programm berichtet, das als Komponente im ht://Dig-Paket enthalten ist, einem Indizier- und Suchsystem für kleine Domains und Intranets. Mit der alten Version war es möglich, den Parameter -c an das CGI-Programm zu übergeben, um eine andere Konfigurationsdatei zu nutzen.
Ein bösartiger Benutzer konnte so htsearch dazu bringen, eine Datei wie /dev/zero zu lesen und in eine Endlosschleife zu geraten. Wenn der Benutzer Schreibzugriff auf dem Server hat, konnte er das Programm zu einer Datei weisen und so beliebige Dateien erhalten, die von der Webserver User ID lesbar sind.
Dieses Problem wurde in der Version 3.1.5-2.0potato.1 für Debian GNU/Linux 2.2 behoben.
Wir empfehlen Ihnen, das htdig-Paket umgehend zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.