Debianin tietoturvatiedote
DSA-080-1 htdig -- luvaton tiedonkeruu
- Ilmoitettu:
- 17.10.2001
- Vaikutuksen alaiset paketit:
- htdig
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Mitren CVE-sanakirjassa: CVE-2001-0834.
- Lisätietoa:
-
Nergal raportoi haavoittuvuudesta htsearch-ohjelmassa, jota jaellaan osana jakelua
ht://Dig-paketissa ja joka on luettelointi- ja hakujärjestelmä
pienille verkkoalueille tai yrityksien sisäisille tietoverkoille.
Käyttäen aiempia versioita on mahdollista antaa parametri -c
cgi-ohjelmalle, joka vaihtaa asetustiedostoa.
Pahantahtoinen käyttäjä voi vaihtaa htseachin asetustiedostoksi vaikkapa /dev/zero:n ja näin palvelin päätyy päättymättömään silmukkaan yrittäen lukea assetuksia tiedostosta. Jos käyttäjällä on kirjoitusoikeudet palvelimeen, hän voi vaihtaa asetustiedostoa ja näin lukea minkä tahansa tiedoston, johon www-palvelimen käyttäjätunnuksella on lukuoikeudet.
Tämä ongelma on korjattu Debian GNU/Linux 2.2 versiossa 3.1.5-2.0potato.1.
Suosittelemme päivittämään htdig-paketin välittömästi.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.