Aviso de seguridad de Debian

DSA-1002-1 webcalendar -- varias vulnerabilidades

Fecha del informe:
15 de mar de 2006
Paquetes afectados:
webcalendar
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 341208, error 342090.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15606, Id. en BugTraq 15608, Id. en BugTraq 15662, Id. en BugTraq 15673.
En el diccionario CVE de Mitre: CVE-2005-3949, CVE-2005-3961, CVE-2005-3982.
Información adicional:

Se han descubierto varios problemas relacionados con la seguridad en webcalendar, un calendario multiusuario escrito en PHP. El proyecto Common Vulnerabilities and Exposures identifica las siguientes vulnerabilidades:

  • CVE-2005-3949

    Varias vulnerabilidades de inyección de SQL permitían que los atacantes remotos ejecutasen órdenes SQL arbitrarias.

  • CVE-2005-3961

    Una entrada no saneada permitía que un atacante sobreescribiese archivos locales.

  • CVE-2005-3982

    Una vulnerabilidad de inyección CRLF permitía que los atacantes remotos modificasen las cabeceras HTTP y pudieran producir ataques de división de respuesta HTTP.

La distribución estable anterior (woody) no contiene los paquetes de webcalendar.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.9.45-4sarge3.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.0.2-1.

Le recomendamos que actualice el paquete webcalendar.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3.dsc
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3.diff.gz
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge3_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.