Debianin tietoturvatiedote
DSA-138-1 gallery -- etäkomentojen suorittaminen
- Ilmoitettu:
- 1. 8.2002
- Vaikutuksen alaiset paketit:
- gallery
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 5375.
Mitren CVE-sanakirjassa: CVE-2002-1412. - Lisätietoa:
-
gallery-ohjelmassa (www-pohjainen valokuva-albumityökalu) havaittiin ongelma: GALLERY_BASEDIR-muuttujan syöttäminen etänä oli mahdollista. Tämä mahdollisti komentojen suorittamisen www-palvelimen käyttäjätunnuksella.
Ongelma on korjattu Debian-paketin versiossa 1.2.5-7 ja uudemmassa versiossa 1.3.1 .
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.