Aviso de seguridad de Debian
DSA-080-1 htdig -- obtención no autorizada de datos
- Fecha del informe:
- 17 de oct de 2001
- Paquetes afectados:
- htdig
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0834.
- Información adicional:
-
Nergal informó de una vulnerabilidad
en el programa htsearch que se distribuye como parte del paquete
ht://Dig, un sistema de indexación y búsqueda para pequeños dominios o
intranets. Usando las anteriores versiones era posible pasar el
parámetro -c al programa cgi para usar un fichero de
configuración diferente.
Un usuario malicioso podría hacer que htsearch mirase en un fichero como /dev/zero y dejar que el servidor se quede ejecutando un bucle sin fin, intentando leer parámetros de configuración. Si el usuario tiene permisos de escritura puede hacer que el programa apunte allí y así descargar cualquier fichero legible por la id de usuario del servidor web.
Este problema ha sido corregido en la versión 3.1.5-2.0potato.1 para Debian GNU/Linux 2.2.
Le recomendamos que actualice su paquete htdig inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.