Рекомендация Debian по безопасности
DSA-1287-1 ldap-account-manager -- многочисленные уязвимости
- Дата сообщения:
- 07.05.2007
- Затронутые пакеты:
- ldap-account-manager
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 415379.
В каталоге Mitre CVE: CVE-2006-7191, CVE-2007-1840. - Более подробная информация:
-
В версии ldap-account-manager, поставляемой в составе Debian 3.1 (sarge), было обнаружено две уязвимости.
- CVE-2006-7191
Уязвимость недоверенной переменной PATH может позволить локальному злоумышленнику выполнить произвольный код с повышенными привилегиями путём передачи некорректного исполняемого файла rm и определения переменной окружения PATH так, чтобы она указывала на этот исполняемый файл.
- CVE-2007-1840
Некорректное экранирование содержимого HTML может позволить злоумышленнику выполнить межсайтовый скриптинг (XSS) и выполнить произвольный код в веб-браузере жертвы в контексте безопасности подверженного атаке веб-сайта.
В предыдущем стабильном выпуске (sarge) эта проблема была исправлена в версии 0.4.9-2sarge1. Более свежие версии Debian (etch, lenny и sid), не подвержены этой уязвимости.
Рекомендуется обновить пакет ldap-account-manager.
- CVE-2006-7191
- Исправлено в:
-
Debian GNU/Linux 3.1 (oldstable)
- Исходный код:
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.