Debian-Sicherheitsankündigung

DSA-080-1 htdig -- Unautorisierter Zugang zu Daten

Datum des Berichts:
17. Okt 2001
Betroffene Pakete:
htdig
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2001-0834.
Weitere Informationen:

Nergal hat eine Verwundbarkeit im htsearch-Programm berichtet, das als Komponente im ht://Dig-Paket enthalten ist, einem Indizier- und Suchsystem für kleine Domains und Intranets. Mit der alten Version war es möglich, den Parameter -c an das CGI-Programm zu übergeben, um eine andere Konfigurationsdatei zu nutzen.

Ein bösartiger Benutzer konnte so htsearch dazu bringen, eine Datei wie /dev/zero zu lesen und in eine Endlosschleife zu geraten. Wenn der Benutzer Schreibzugriff auf dem Server hat, konnte er das Programm zu einer Datei weisen und so beliebige Dateien erhalten, die von der Webserver User ID lesbar sind.

Dieses Problem wurde in der Version 3.1.5-2.0potato.1 für Debian GNU/Linux 2.2 behoben.

Wir empfehlen Ihnen, das htdig-Paket umgehend zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.