Debians sikkerhedsbulletin
DSA-420-1 jitterbug -- ukorrekt kontrol af inddata
- Rapporteret den:
- 12. jan 2004
- Berørte pakker:
- jitterbug
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9397.
I Mitres CVE-ordbog: CVE-2004-0028. - Yderligere oplysninger:
-
Steve Kemp har opdaget et sikkerhedsrelateret problem i jitterbug, et simpelt CGI-baseret fejlsporings- og rapporteringsværktøj. Desværre udfører programmet ikke på korrekt vis kontroller af inddata, hvilket gør det muligt for angriber at udføre vilkårlige kommandoer på den server, som fejldatabasen ligger på. Som en formildende omstændighed er disse angriber kun mulige for brugere som ikke er gæster, og kontoer for disse personer skal administratoren have opsat som værende "trusted".
I den stabile distribution (woody) er dette problem rettet i version 1.6.2-4.2woody2.
I den ustabile distribution (sid) er dette problem rettet i version 1.6.2-4.5.
Vi anbefaler at du opgraderer din jitterbug-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.dsc
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.