Alerta de Segurança Debian

DSA-346-1 phpsysinfo -- passagem de diretório

Data do Alerta:
08 Jul 2003
Pacotes Afetados:
phpsysinfo
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7275, ID BugTraq 7286.
No dicionário CVE do Mitre: CVE-2003-0536.
Informações adicionais:

Albert Puigsech Galicia ripe@7a69ezine.org relatou que o phpsysinfo, um programa web que exibe informações sobre o sistema, contém duas vulnerabilidades que podem permitir que arquivos locais sejam lidos, ou que códigos PHP arbitrários sejam executados, sob os privilégios do processo do servidor web (geralmente o www-data). Estas vulnerabilidades requerem acesso a um diretório do sistema no qual se possa escrever para serem exploradas.

Na atual distribuição estável (woody) este problema foi corrigido na versão 2.0-3woody1.

Na distribuição instável (sid) este problema será corrigido em breve. Veja o bug Debian #200543.

Nós recomendamos que você atualize seus pacotes phpsysinfo.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.