Debians sikkerhedsbulletin

DSA-1287-1 ldap-account-manager -- flere sårbarheder

Rapporteret den:
7. maj 2007
Berørte pakker:
ldap-account-manager
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 415379.
I Mitres CVE-ordbog: CVE-2006-7191, CVE-2007-1840.
Yderligere oplysninger:

To sårbarheder er opdaget i den version af ldap-account-manager som distribueres med Debian 3.1 (sarge).

  • CVE-2006-7191

    En sårbarhed i forbindelse med en usikker PATH kunne gøre det muligt for lokale angribere at udføre vilkårlig kode med forøgede rettigheder, ved at levere en ondsindet udførebar rm-fil og angivelse af en PATH-miljøvariabel pegende på denne udførbare fil.

  • CVE-2007-1840

    Ukorrekt indkapsling af HTML-indhold kunne gøre det muligt for en angriber at udføre skripter på tværs af websteder-angreb (XSS, cross-site scripting) og udføre vilkårlig kode i offerets browser i det påvirkede websteds sikkerhedskontekst.

I den gamle stabile distribution (sarge), er dette problem rettet i version 0.4.9-2sarge1. Nyere versioner af Debian (etch, lenny og sid) er ikke påvirkede.

Vi anbefaler at du opgraderer din ldap-account-manager-pakke.

Rettet i:

Debian GNU/Linux 3.1 (oldstable)

Kildekode:
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.