Debianin tietoturvatiedote
DSA-265-1 bonsai -- useita tietoturva-aukkoja
- Ilmoitettu:
- 21. 3.2003
- Vaikutuksen alaiset paketit:
- bonsai
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Mitren CVE-sanakirjassa: CVE-2003-0152, CVE-2003-0153, CVE-2003-0154, CVE-2003-0155.
- Lisätietoa:
-
Rémi Perrot korjasi bonsaista, Mozillan www-liittymän kautta käytettävästä CVS-kyselytyökalusta, useita tietoturvaan liittyviä vikoja. Haavoittuvuuksiin sisältyvät mielivaltaisen koodin suoritus, ristiinlinkittävä komentosarjan käyttö sekä pääsy asetusparametreihin. The Common Vulnerabilities and Exposures-projekti tunnisti seuraavat ongelmat:
- CAN-2003-0152 - Mielivaltaisten komentojen suorittaminen etäkoneelta www-data-käyttäjäoikeuksilla
- CAN-2003-0153 - Absoluuttisen polun paljastuminen
- CAN-2003-0154 - Hyökkäys ristiinlinkittävien komentosarjojen kautta
- CAN-2003-0155 - Pääsy asetussivuille ilman tunnistusta
Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 1.3+cvs20020224-1woody1 .
Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille, koska se ei sisällä bonsai-pakettia.
Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 1.3+cvs20030317-1 .
Suosittelemme päivittämään bonsai-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.dsc
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/b/bonsai/bonsai_1.3+cvs20020224-1woody1_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.