Debians sikkerhedsbulletin
DSA-1287-1 ldap-account-manager -- flere sårbarheder
- Rapporteret den:
- 7. maj 2007
- Berørte pakker:
- ldap-account-manager
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 415379.
I Mitres CVE-ordbog: CVE-2006-7191, CVE-2007-1840. - Yderligere oplysninger:
-
To sårbarheder er opdaget i den version af ldap-account-manager som distribueres med Debian 3.1 (sarge).
- CVE-2006-7191
En sårbarhed i forbindelse med en usikker PATH kunne gøre det muligt for lokale angribere at udføre vilkårlig kode med forøgede rettigheder, ved at levere en ondsindet udførebar rm-fil og angivelse af en PATH-miljøvariabel pegende på denne udførbare fil.
- CVE-2007-1840
Ukorrekt indkapsling af HTML-indhold kunne gøre det muligt for en angriber at udføre skripter på tværs af websteder-angreb (XSS, cross-site scripting) og udføre vilkårlig kode i offerets browser i det påvirkede websteds sikkerhedskontekst.
I den gamle stabile distribution (sarge), er dette problem rettet i version 0.4.9-2sarge1. Nyere versioner af Debian (etch, lenny og sid) er ikke påvirkede.
Vi anbefaler at du opgraderer din ldap-account-manager-pakke.
- CVE-2006-7191
- Rettet i:
-
Debian GNU/Linux 3.1 (oldstable)
- Kildekode:
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.