Debian-Sicherheitsankündigung

DSA-1423-1 sitebar -- Mehrere Verwundbarkeiten

Datum des Berichts:
07. Dez 2007
Betroffene Pakete:
sitebar
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 447135, Fehler 448690, Fehler 448689.
In Mitres CVE-Verzeichnis: CVE-2007-5491, CVE-2007-5492, CVE-2007-5693, CVE-2007-5694, CVE-2007-5695, CVE-2007-5692.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in sitebar, einem in PHP geschriebenen Web-basierten Lesezeichen-Verwalter, entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2007-5491

    Eine Verzeichnisüberschreitungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern, die Rechte beliebiger Dateien mittels ..-Sequenzen im Parameter lang auf 0777 zu ändern.

  • CVE-2007-5492

    Eine statischer-Code-Einschleusungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern die Ausführung beliebigen PHP-Codes mit dem Parameter value.

  • CVE-2007-5693

    Eine eval-Einschleusungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern die Ausführung beliebigen PHP-Codes mit dem Parameter edit in einer upd cmd-Aktion.

  • CVE-2007-5694

    Eine Pfadüberschreitungs-Verwundbarkeit im Übersetzungsmodul ermöglicht entfernt authentifizierten Benutzern das Auslesen beliebiger Dateien mittels eines absoluten Pfades im Parameter dir.

  • CVE-2007-5695

    Ein Fehler in command.php ermöglicht entfernten Angreifern mittels dem Parameter forward in einer Log in-Aktion die Weiterleitung von Benutzern an beliebige Web-Sites.

  • CVE-2007-5692

    Mehrere Site-übergreifende Skripting-Probleme ermöglichen entfernten Angreifern die Einschleusung beliebiger Skript- oder HTML-Fragmente in mehrere Skripte.

Für die alte Stable-Distribution (Sarge) wurden diese Probleme in Version 3.2.6-7.1sarge1 behoben.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 3.3.8-7etch1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 3.3.8-12.1 behoben.

Wir empfehlen Ihnen, Ihr sitebar-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1.dsc
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.2.6-7.1sarge1_all.deb

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1.dsc
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1.diff.gz
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/sitebar/sitebar_3.3.8-7etch1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.