Рекомендация Debian по безопасности

DSA-1287-1 ldap-account-manager -- многочисленные уязвимости

Дата сообщения:
07.05.2007
Затронутые пакеты:
ldap-account-manager
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 415379.
В каталоге Mitre CVE: CVE-2006-7191, CVE-2007-1840.
Более подробная информация:

В версии ldap-account-manager, поставляемой в составе Debian 3.1 (sarge), было обнаружено две уязвимости.

  • CVE-2006-7191

    Уязвимость недоверенной переменной PATH может позволить локальному злоумышленнику выполнить произвольный код с повышенными привилегиями путём передачи некорректного исполняемого файла rm и определения переменной окружения PATH так, чтобы она указывала на этот исполняемый файл.

  • CVE-2007-1840

    Некорректное экранирование содержимого HTML может позволить злоумышленнику выполнить межсайтовый скриптинг (XSS) и выполнить произвольный код в веб-браузере жертвы в контексте безопасности подверженного атаке веб-сайта.

В предыдущем стабильном выпуске (sarge) эта проблема была исправлена в версии 0.4.9-2sarge1. Более свежие версии Debian (etch, lenny и sid), не подвержены этой уязвимости.

Рекомендуется обновить пакет ldap-account-manager.

Исправлено в:

Debian GNU/Linux 3.1 (oldstable)

Исходный код:
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.