Рекомендация Debian по безопасности

DSA-346-1 phpsysinfo -- проход сквозь каталоги

Дата сообщения:
08.07.2003
Затронутые пакеты:
phpsysinfo
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7275, Идентификатор BugTraq 7286.
В каталоге Mitre CVE: CVE-2003-0536.
Более подробная информация:

Альберт Пигсек Галициа (Albert Puigsech Galicia) ripe@7a69ezine.org сообщил, что phpsysinfo, web-ориентированная программа просмотра информации о состоянии системы, содержит две уязвимости, которые могут позволить нападающему читать локальные файлы или выполнять произвольный код на PHP с привилегиями процесса web-сервера (обычно, www-data). Для использования этих уязвимостей требуется доступ на запись в какой-нибудь из каталогов системы.

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.0-3woody1.

В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время. См. сообщение об ошибке Debian #200543.

Мы рекомендуем вам обновить пакет phpsysinfo.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.