Debian セキュリティ勧告
DSA-534-1 mailreader -- ディレクトリトラバーサル
- 報告日時:
- 2004-07-22
- 影響を受けるパッケージ:
- mailreader
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 6055.
Mitre の CVE 辞書: CVE-2002-1581. - 詳細:
-
mailreader にディレクトリトラバーサル欠陥が発見されました。 configLanguage パラメータに相対パスとヌル文字を含めることで、 リモートの攻撃者が nph-mr.cgi プロセスの権限 (デフォルトでは www-data) で任意のファイルを読める恐れがあります。
安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 2.3.29-5woody1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。
直ちに mailreader パッケージをアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/m/mailreader/mailreader_2.3.29-5woody1.dsc
- http://security.debian.org/pool/updates/main/m/mailreader/mailreader_2.3.29-5woody1.diff.gz
- http://security.debian.org/pool/updates/main/m/mailreader/mailreader_2.3.29.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mailreader/mailreader_2.3.29-5woody1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/m/mailreader/mailreader_2.3.29-5woody1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。