Debian-Sicherheitsankündigung
DSA-420-1 jitterbug -- Ungenügende Überprüfung der Eingabe
- Datum des Berichts:
- 12. Jan 2004
- Betroffene Pakete:
- jitterbug
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9397.
In Mitres CVE-Verzeichnis: CVE-2004-0028. - Weitere Informationen:
-
Steve Kemp entdeckte ein sicherheitsbezogenes Problem in jitterbug, einer einfachen, CGI-basierten Fehlerdatenbank. Vor dem Ausführen von Programmen wird die Eingabe nicht ausreichend überprüft, dies erlaubt es einem Angreifer, beliebige Kommandos auf dem Server, der die Fehlerdatenbank hosted, auszuführen. Der Angriff ist allerdings nur durch angemeldete Benutzer möglich, und das Konto muss durch den Administrator als
vertrauenswürdig
(trusted
) markiert sein.Für die stable Distribution (Woody) wurde dieses Problem in Version 1.6.2-4.2woody2 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 1.6.2-4.5 behoben.
Wir empfehlen Ihnen, Ihr jitterbug-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.dsc
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/j/jitterbug/jitterbug_1.6.2-4.2woody2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.