Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1423-1 sitebar -- Mehrere Verwundbarkeiten

Datum des Berichts:

07. Dez 2007

Betroffene Pakete:

sitebar

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 447135, Fehler 448690, Fehler 448689.
In Mitres CVE-Verzeichnis: CVE-2007-5491, CVE-2007-5492, CVE-2007-5693, CVE-2007-5694, CVE-2007-5695, CVE-2007-5692.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in sitebar, einem in PHP geschriebenen Web-basierten Lesezeichen-Verwalter, entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2007-5491

  Eine Verzeichnisüberschreitungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern, die Rechte beliebiger Dateien mittels ..-Sequenzen im Parameter lang auf 0777 zu ändern.

• CVE-2007-5492

  Eine statischer-Code-Einschleusungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern die Ausführung beliebigen PHP-Codes mit dem Parameter value.

• CVE-2007-5693

  Eine eval-Einschleusungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern die Ausführung beliebigen PHP-Codes mit dem Parameter edit in einer upd cmd-Aktion.

• CVE-2007-5694

  Eine Pfadüberschreitungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern das Auslesen beliebiger Dateien mittels eines absoluten Pfades im Parameter dir.

• CVE-2007-5695

  Ein Fehler in command.php ermöglicht entfernten Angreifern mittels dem Parameter forward in einer Log in-Aktion die Weiterleitung von Benutzern an beliebige Web-Sites.

• CVE-2007-5692

  Mehrere Site-übergreifende Skripting-Probleme ermöglichen entfernten Angreifern die Einschleusung beliebiger Skript- oder HTML-Fragmente in mehrere Skripte.

Für die alte Stable-Distribution (Sarge) wurden diese Probleme in Version 3.2.6-7.1sarge1 behoben.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 3.3.8-7etch1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 3.3.8-12.1 behoben.

Wir empfehlen Ihnen, Ihr sitebar-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1.diff.gz

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6.orig.tar.gz

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1.dsc

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1_all.deb

Debian GNU/Linux 4.0 (etch)

Quellcode:

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1.dsc

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1.diff.gz

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein