Рекомендация Debian по безопасности

DSA-080-1 htdig -- неавторизованный сбор данных

Дата сообщения:
17.10.2001
Затронутые пакеты:
htdig
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2001-0834.
Более подробная информация:
Nergal сообщил об уязвимости в программе htsearch, которая поставляется в качестве части пакета ht://Dig, системы индексирования и поиска для небольших доменов и внутренних сетей. Эта программа может передавать параметр -c cgi-программе с целю использования другого файла настройки.

Злоумышленник может указать htsearch файл типа /dev/zero, что приведёт к тому, что сервер войдёт в бесконечный цикл, пытаясь прочесть параметры настройки. Если пользователь имеет права на запись на сервере, то он может указать программе получить любой файл, который может быть прочитан пользователем, от лица которого запущен веб-сервер.

Эта проблема была исправлена в версии 3.1.5-2.0potato.1 для GNU/Linux 2.2.

Рекомендуется как можно скорее обновить пакет htdig.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5-2.0potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/htdig_3.1.5.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/dists/stable/updates/main/binary-all/htdig-doc_3.1.5-2.0potato.1_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/htdig_3.1.5-2.0potato.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/htdig_3.1.5-2.0potato.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/htdig_3.1.5-2.0potato.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/htdig_3.1.5-2.0potato.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/htdig_3.1.5-2.0potato.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/htdig_3.1.5-2.0potato.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.