Debians sikkerhedsbulletin

DSA-523-1 www-sql -- bufferoverløb

Rapporteret den:
19. jun 2004
Berørte pakker:
www-sql
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 10577.
I Mitres CVE-ordbog: CVE-2004-0455.
Yderligere oplysninger:

Ulf Härnhammar har opdaget en bufferoverløbssårbarhed www-sql, et CGI-program der gør det muligt at fremstille dynamiske websider ved at indlejre SQL-kommandoer i HTML. Ved udnyttelse af denne sårbarhed, kunne en lokal bruger forårsage udførelsen af vilkårlig kode ved at oprette en webside og lade den behandle af www-sql.

I den nuværende stabile distribution (woody), er dette problem rettet i version 0.5.7-17woody1.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opdaterer din www-sql-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/w/www-sql/www-sql_0.5.7-17woody1.dsc
http://security.debian.org/pool/updates/main/w/www-sql/www-sql_0.5.7-17woody1.diff.gz
http://security.debian.org/pool/updates/main/w/www-sql/www-sql_0.5.7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_alpha.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_arm.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_i386.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_ia64.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_hppa.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_m68k.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_mips.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_mipsel.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_powerpc.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_s390.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/www-sql/www-mysql_0.5.7-17woody1_sparc.deb
http://security.debian.org/pool/updates/main/w/www-sql/www-pgsql_0.5.7-17woody1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.