Рекомендация Debian по безопасности

DSA-1949-1 php-net-ping -- ошибка программирования

Дата сообщения:
12.12.2009
Затронутые пакеты:
php-net-ping
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2009-4024.
Более подробная информация:

Было обнаружено, что php-net-ping, модуль PEAR для PHP для запуска команды ping независимо от операционной системы, выполняет недостаточную очистку входных данных, что может использоваться для инъекции аргументов (CVE пока не назначен) или выполнения произвольных команд (CVE-2009-4024) в системе, использующей php-net-ping.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 2.4.2-1+etch1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.4.2-1+lenny1.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.4.2-1.1.

Рекомендуется обновить пакеты php-net-ping.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1.diff.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1.dsc
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/php-net-ping/php-net-ping_2.4.2-1+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.