Säkerhetsbulletin från Debian
DSA-1242-1 elog -- flera sårbarheter
- Rapporterat den:
- 2006-12-27
- Berörda paket:
- elog
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2006-5063, CVE-2006-5790, CVE-2006-5791, CVE-2006-6318.
- Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i elog, en webbaserad elektronisk loggbok, vilka kunde leda till exekvering av godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2006-5063
Tilman Koschnick upptäckte att redigering av loggposter i HTML var sårbara för serveröverskridande skript. Denna uppdatering inaktiverar den sårbara koden.
- CVE-2006-5790
Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte flera formatsträngssårbarheter i elog, vilka kunde leda till exekvering av godtycklig kod.
- CVE-2006-5791
Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte serveröverskridande skriptsårbarheter i skapandet av nya loggbokposter.
- CVE-2006-6318
Jayesh KS och Arun Kethipelly från OS2A upptäckte att elog inte utförde tillräcklig felhantering i inläsning av konfigurationsfilen, vilket kunde användas i en överbelastningsattack genom att en NULL-pekare avrefererades.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2.5.7+r1558-4+sarge3.
Den kommande stabila utgåvan (Etch) kommer inte längre innehålla elog.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.6.2+r1754-1.
Vi rekommenderar att ni uppgraderar ert elog-paket.
- CVE-2006-5063
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.dsc
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.diff.gz
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.