Debians sikkerhedsbulletin

DSA-223-1 geneweb -- informationsafsløring

Rapporteret den:

7. jan 2003

Berørte pakker:

geneweb

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6549.
I Mitres CVE-ordbog: CVE-2002-1390.

Yderligere oplysninger:

Et sikkerhedsproblem er opdaget af Daniel de Rauglaudre, opstrømsforfatter af geneweb, et slægtsforskningsprogram med webgrænseflade. Som standard kører det som dæmon på port 2317. Stier kontrolleres ikke korrekt, hvorfor en omhyggeligt fremstillet URL fører til, at geneweb læser og viser vilkårlige filer på det system, programmet kører på.

I den aktuelle stabile distribution (woody) er dette problem rettet i version 4.06-2.

Den gamle stabile distribution (potato) er ikke påvirket.

I den ustabile distribution (sid) er dette problem rettet i version 4.09-1.

Vi anbefaler at du opgraderer din geneweb-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.dsc; http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.diff.gz; http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_alpha.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_arm.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_i386.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_ia64.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_hppa.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_m68k.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mips.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mipsel.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_powerpc.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_s390.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_sparc.deb; http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.