Рекомендация Debian по безопасности

DSA-420-1 jitterbug -- некорректная обработка входного текста

Дата сообщения:
12.01.2004
Затронутые пакеты:
jitterbug
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 9397.
В каталоге Mitre CVE: CVE-2004-0028.
Более подробная информация:

Стив Кемп (Steve Kemp) обнаружил связанную с безопасностью проблему в jitterbug, простом инструменте отслеживания ошибок и составления отчётов на основе CGI. К сожалению, при выполнении программы не производится достаточная проверка входного текста, что позволяет нападающему выполнить произвольные команды на сервере, где хранится база данных ошибок. Смягчающим обстоятельством является то, что атаку могут произвести только пользователи, имеющие большие права, чем гостевые, и учётные записи таких пользователей должны быть помечены администратором как "пользующиеся доверием".

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 1.6.2-4.2woody2.

В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 1.6.2-4.5.

Мы рекомендуем вам обновить пакет jitterbug.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.dsc
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.