Debianin tietoturvatiedote

DSA-138-1 gallery -- etäkomentojen suorittaminen

Ilmoitettu:
1. 8.2002
Vaikutuksen alaiset paketit:
gallery
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 5375.
Mitren CVE-sanakirjassa: CVE-2002-1412.
Lisätietoa:

gallery-ohjelmassa (www-pohjainen valokuva-albumityökalu) havaittiin ongelma: GALLERY_BASEDIR-muuttujan syöttäminen etänä oli mahdollista. Tämä mahdollisti komentojen suorittamisen www-palvelimen käyttäjätunnuksella.

Ongelma on korjattu Debian-paketin versiossa 1.2.5-7 ja uudemmassa versiossa 1.3.1 .

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.diff.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.