Alerta de Segurança Debian
DSA-080-1 htdig -- obtenção não-autorizada de dados
- Data do Alerta:
- 17 Out 2001
- Pacotes Afetados:
- htdig
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No dicionário CVE do Mitre: CVE-2001-0834.
- Informações adicionais:
-
Nergal reportou uma vulnerabilidade no programa htsearch, que é distribuído no pacote
ht://Dig, um sistema de indexação e busca para pequenos domínios e
intranets. Usando versões anteriores, era possível passar o parâmetro
-c para o programa cgi, de forma a usar um outro arquivo de
configuração.
Um usuário maldoso poderia apontar o htsearch para um arquivo como /dev/zero e pôr o servidor num loop infinito, tentando ler parâmetros de configuração. Se o usuário possui permissões de gravação no servidor, ele pode apontar o programa para um arquivo de configuração válido e pegar qualquer arquivo legível pelo uid do servidor web.
Esse problema foi consertado na versão 3.1.5-2.0potato.1 para o Debian GNU/Linux 2.2.
Nós recomendamos que você atualize seu pacote htdig imediatamente.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
- Componente independente de arquitetura:
- http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.