Рекомендация Debian по безопасности

DSA-346-1 phpsysinfo -- проход сквозь каталоги

Дата сообщения:

08.07.2003

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7275, Идентификатор BugTraq 7286.
В каталоге Mitre CVE: CVE-2003-0536.

Более подробная информация:

Альберт Пигсек Галициа (Albert Puigsech Galicia) ripe@7a69ezine.org сообщил, что phpsysinfo, web-ориентированная программа просмотра информации о состоянии системы, содержит две уязвимости, которые могут позволить нападающему читать локальные файлы или выполнять произвольный код на PHP с привилегиями процесса web-сервера (обычно, www-data). Для использования этих уязвимостей требуется доступ на запись в какой-нибудь из каталогов системы.

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.0-3woody1.

В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время. См. отчёт об ошибке Debian #200543.

Мы рекомендуем вам обновить пакет phpsysinfo.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.