Aviso de seguridad de Debian

DSA-1239-1 sql-ledger -- varias vulnerabilidades

Fecha del informe:

17 de dic de 2006

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 386519.
En el diccionario CVE de Mitre: CVE-2006-4244, CVE-2006-4731, CVE-2006-5872.

Información adicional:

Se han descubierto varias vulnerabilidades remotas en SQL Ledget, un programa de contabilidad de doble entrada, que podía conducir a la ejecución de código arbitrario. El proyecto Common Vulnerabilities and Exposures ha identificado los siguientes problemas:

CVE-2006-4244
Chris Travers descubrió que se podía manipular la gestión de sesiones para secuestrar las sesiones existentes.
CVE-2006-4731
Chris Travers descubrió que se podía sacar provecho de los saltos de directorios para ejecutar código Perl arbitrario.
CVE-2006-5872
Se descubrió que una entrada no saneada permitía la ejecución de código Perl arbitrario.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.4.7-2sarge1.

Para la próxima distribución estable (etch), estos problemas se han corregido en la versión 2.6.21-1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6.21-1.

Le recomendamos que actualice los paquetes de sql-ledger.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.