Alerta de Segurança Debian

DSA-080-1 htdig -- obtenção não-autorizada de dados

Data do Alerta:
17 Out 2001
Pacotes Afetados:
htdig
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2001-0834.
Informações adicionais:
Nergal reportou uma vulnerabilidade no programa htsearch, que é distribuído no pacote ht://Dig, um sistema de indexação e busca para pequenos domínios e intranets. Usando versões anteriores, era possível passar o parâmetro -c para o programa cgi, de forma a usar um outro arquivo de configuração.

Um usuário maldoso poderia apontar o htsearch para um arquivo como /dev/zero e pôr o servidor num loop infinito, tentando ler parâmetros de configuração. Se o usuário possui permissões de gravação no servidor, ele pode apontar o programa para um arquivo de configuração válido e pegar qualquer arquivo legível pelo uid do servidor web.

Esse problema foi consertado na versão 3.1.5-2.0potato.1 para o Debian GNU/Linux 2.2.

Nós recomendamos que você atualize seu pacote htdig imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.