Bulletin d'alerte Debian

DSA-346-1 phpsysinfo -- Traversée de répertoire

Date du rapport :
8 juillet 2003
Paquets concernés :
phpsysinfo
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7275, Identifiant BugTraq 7286.
Dans le dictionnaire CVE du Mitre : CVE-2003-0536.
Plus de précisions :

Albert Puigsech Galicia ripe@7a69ezine.org a rapporté que phpsysinfo, un programme à interface web affichant l'état d'un système, contient deux failles de sécurité qui pouvaient permettre de lire des fichiers locaux ou d'exécuter n'importe quel code PHP avec les privilèges du processus du serveur web (généralement www-data). Ces failles de sécurité demandent un accès en écriture sur un répertoire du système pour être exploitées.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.0-3woody1.

Pour la distribution instable (Sid), ce problème va être corrigé bientôt. Allez voir le bogue n° 200543 de Debian.

Nous vous recommandons de mettre à jour votre paquet phpsysinfo.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.