Debians sikkerhedsbulletin
DSA-265-1 bonsai -- flere sårbarheder
- Rapporteret den:
- 21. mar 2003
- Berørte pakker:
- bonsai
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2003-0152, CVE-2003-0153, CVE-2003-0154, CVE-2003-0155.
- Yderligere oplysninger:
-
Rémi Perrot har rettet flere sikkerhedsrelaterede fejl i bonsai, Mozillas værktøj til CVS-forespørgsler via en webgrænseflade. Sårbarhederne er blandt andre udførelse af vilkårlig kode, udførelse af skripter på tværs af websteder og adgang til opsætningsparametre. Projektet Common Vulnerabilities and Exposures har fundet følgende problemer:
- CAN-2003-0152 - Fjernudførelse af vilkårlige kommandoer som www-data
- CAN-2003-0153 - Blotlæggelse af absolutte stier
- CAN-2003-0154 - Angreb der udfører skripter på tværs af websteder
- CAN-2003-0155 - Uautoriseret adgang til parameterside
I den stabile distribution (woody) er disse problemer rettet i version 1.3+cvs20020224-1woody1.
Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder bonsai.
I den ustabile distribution (sid) er disse problemer rettet i version 1.3+cvs20030317-1.
Vi anbefaler at du opgraderer din bonsai-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.dsc
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.