Debians sikkerhedsbulletin

DSA-1949-1 php-net-ping -- programmeringsfejl

Rapporteret den:
12. dec 2009
Berørte pakker:
php-net-ping
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-4024.
Yderligere oplysninger:

Man opdagede at php-net-ping, et PHP PEAR-modul til iværksættelse af ping uafhængigt af styresystemet, udførte utilstrækkelig fornuftighedskontrol af inddata, hvilket måske kunne anvendes til at indspøjte parametre (endnu intet CVE) eller udføre vilkårlige kommandoer (CVE-2009-4024) på et system der anvender php-net-ping.

I den gamle stabile distribution (etch), er dette problem rettet i version 2.4.2-1+etch1.

I den stabile distribution (lenny), er dette problem rettet i version 2.4.2-1+lenny1.

I distributionen testing (squeeze), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 2.4.2-1.1.

Vi anbefaler at du opgraderer dine php-net-ping-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1.dsc
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.