Debians sikkerhedsbulletin
DSA-138-1 gallery -- fjernudnyttelse
- Rapporteret den:
- 1. aug 2002
- Berørte pakker:
- gallery
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5375.
I Mitres CVE-ordbog: CVE-2002-1412. - Yderligere oplysninger:
-
Der er blevet fundet et problem i gallery (et webbaseret fotoalbumsværktøj): det var muligt at for en fjernbruger at angive variablen GALLERY_BASEDIR, hvilket gjorde det muligt at udføre kommandoer under webserverens uid.
Dette er rettet i version 1.2.5-7 af Debian-pakken og opstrøms version 1.3.1.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.