Bulletin d'alerte Debian

DSA-346-1 phpsysinfo -- Traversée de répertoire

Date du rapport:

8 juillet 2003

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 7275, Identificateur BugTraq 7286.
Dans le dictionnaire CVE du Mitre : CVE-2003-0536.

Pour plus d'information:

Albert Puigsech Galicia ripe@7a69ezine.org a rapporté que phpsysinfo, un programme à interface web affichant l'état d'un système, contient deux failles de sécurité qui pouvaient permettre de lire des fichiers locaux ou d'exécuter n'importe quel code PHP avec les privilèges du processus du serveur web (généralement www-data). Ces failles de sécurité demandent un accès en écriture sur un répertoire du système pour être exploitées.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.0-3woody1.

Pour la distribution instable (Sid), ce problème va être corrigé bientôt. Allez voir le bogue n° 200543 de Debian.

Nous vous recommandons de mettre à jour votre paquet phpsysinfo.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.