Säkerhetsbulletin från Debian

DSA-2107-1 couchdb -- opålitlig sökväg

Rapporterat den:
2010-09-09
Berörda paket:
couchdb
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 594412.
I Mitres CVE-förteckning: CVE-2010-2953.
Ytterligare information:

Dan Rosenberg upptäckte att couchdb, en distribuerad, feltolerant och schemafri dokumentorienterad databas, använder en osäker bibliotekssökväg. En lokal angripare kunde exekvera godtycklig kod genom att först dumpa ett specialskrivet delat bibliotek i någon katalog och sedan få en administratör att köra couchdb från denna katalog.

För den stabila utgåvan (Lenny) har detta problem rättats i version 0.8.0-2+lenny1.

Vi rekommenderar att ni uppgraderar ert couchdb-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1.dsc
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/couchdb/couchdb_0.8.0-2+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.