Debians sikkerhedsbulletin

DSA-420-1 jitterbug -- ukorrekt kontrol af inddata

Rapporteret den:
12. jan 2004
Berørte pakker:
jitterbug
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9397.
I Mitres CVE-ordbog: CVE-2004-0028.
Yderligere oplysninger:

Steve Kemp har opdaget et sikkerhedsrelateret problem i jitterbug, et simpelt CGI-baseret fejlsporings- og rapporteringsværktøj. Desværre udfører programmet ikke på korrekt vis kontroller af inddata, hvilket gør det muligt for angriber at udføre vilkårlige kommandoer på den server, som fejldatabasen ligger på. Som en formildende omstændighed er disse angriber kun mulige for brugere som ikke er gæster, og kontoer for disse personer skal administratoren have opsat som værende "trusted".

I den stabile distribution (woody) er dette problem rettet i version 1.6.2-4.2woody2.

I den ustabile distribution (sid) er dette problem rettet i version 1.6.2-4.5.

Vi anbefaler at du opgraderer din jitterbug-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.dsc
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.