Debians sikkerhedsbulletin

DSA-2179-1 dtc -- SQL-indsprøjtning

Rapporteret den:
2. mar 2011
Berørte pakker:
dtc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 614302.
I Mitres CVE-ordbog: CVE-2011-0434, CVE-2011-0435, CVE-2011-0436, CVE-2011-0437.
Yderligere oplysninger:

Ansgar Burchardt opdagede flere sårbarheder i DTC, et webkontrolpanel til administrative og regnskabsmæssige hostingservices.

  • CVE-2011-0434

    Grafen bw_per_moth.php indeholdt en SQL-indsprøjtningssårbarhed.

  • CVE-2011-0435

    Utilstrækkelige kontroller i bw_per_month.php kunne føre til informationsafsløring af båndbreddeforbrug..

  • CVE-2011-0436

    Efter en registrering blev adgangskoder sendt i klar tekst via e-mail.

  • CVE-2011-0437

    Autentificerede brugere kunne slette konti ved at anvende en forældet grænseflade, der fejlagtigt var medtaget i pakken.

Denne opdatering introducerer en ny opsætningsmulighed, som kontrollerer tilstedeværelsen af adgangskoder i klar tekst i e-mail. Som standard anvendes ikke adgangskoder i klar tekst.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.29.17-1+lenny1.

Den stabile distribution (squeeze) og distributionen testing (wheezy) indeholder ikke dtc-pakker.

I den ustabile distribution (sid), er dette problem rettet i version 0.32.10-1.

Vi anbefaler at du opgraderer dine dtc-pakker.