Hoppa över navigering

• Om Debian
• Nyheter
• Få tag på Debian
• Support
• Utvecklarhörnet
• Sidöversikt
• Sök

Säkerhetsbulletin från Debian

DSA-1242-1 elog -- flera sårbarheter

Rapporterat den:

2006-12-27

Berörda paket:

elog

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2006-5063, CVE-2006-5790, CVE-2006-5791, CVE-2006-6318.

Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i elog, en webbaserad elektronisk loggbok, vilka kunde leda till exekvering av godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2006-5063

  Tilman Koschnick upptäckte att redigering av loggposter i HTML var sårbara för serveröverskridande skript. Denna uppdatering inaktiverar den sårbara koden.

• CVE-2006-5790

  Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte flera formatsträngssårbarheter i elog, vilka kunde leda till exekvering av godtycklig kod.

• CVE-2006-5791

  Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte serveröverskridande skriptsårbarheter i skapandet av nya loggbokposter.

• CVE-2006-6318

  Jayesh KS och Arun Kethipelly från OS2A upptäckte att elog inte utförde tillräcklig felhantering i inläsning av konfigurationsfilen, vilket kunde användas i en överbelastningsattack genom att en NULL-pekare avrefererades.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 2.5.7+r1558-4+sarge3.

Den kommande stabila utgåvan (Etch) kommer inte längre innehålla elog.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.6.2+r1754-1.

Vi rekommenderar att ni uppgraderar ert elog-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.dsc

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.diff.gz

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_arm.deb

HPPA:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

Denna sida finns även på följande språk:

dansk Deutsch English español français 日本語 (Nihongo)

Så ställer du in standardspråkval för dokument