Aviso de seguridad de Debian
DSA-980-1 tutos -- varias vulnerabilidades
- Fecha del informe:
- 22 de feb de 2006
- Paquetes afectados:
- tutos
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 318633.
En el diccionario CVE de Mitre: CVE-2004-2161, CVE-2004-2162. - Información adicional:
-
Joxean Koret descubrió varios problemas de seguridad en tutos, un programa para organización de equipos mediante web. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2004-2161
Una vulnerabilidad de inyección de SQL permitía la ejecución de órdenes SQL a través del parámetro link_id en file_overview.php.
- CVE-2004-2162
Algunas vulnerabilidades de guiones a través del sitio en la función de búsqueda de la libreta de direcciones en app_new.php permitía la ejecución de código de guiones en la web.
La distribución estable anterior (woody) no contiene los paquetes de tutos.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.1.20031017-2+1sarge1.
La distribución inestable (sid), no contenía los paquetes de tutos.
Le recomendamos que actualice el paquete tutos.
- CVE-2004-2161
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/t/tutos/tutos_1.1.20031017-2+1sarge1.dsc
- http://security.debian.org/pool/updates/main/t/tutos/tutos_1.1.20031017-2+1sarge1.tar.gz
- http://security.debian.org/pool/updates/main/t/tutos/tutos_1.1.20031017-2+1sarge1.tar.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/t/tutos/tutos_1.1.20031017-2+1sarge1_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.