Debians sikkerhedsbulletin

DSA-138-1 gallery -- fjernudnyttelse

Rapporteret den:
1. aug 2002
Berørte pakker:
gallery
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5375.
I Mitres CVE-ordbog: CVE-2002-1412.
Yderligere oplysninger:

Der er blevet fundet et problem i gallery (et webbaseret fotoalbumsværktøj): det var muligt at for en fjernbruger at angive variablen GALLERY_BASEDIR, hvilket gjorde det muligt at udføre kommandoer under webserverens uid.

Dette er rettet i version 1.2.5-7 af Debian-pakken og opstrøms version 1.3.1.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.