Debians sikkerhedsbulletin
DSA-1580-1 phpgedview -- programmeringsfejl
- Rapporteret den:
- 20. maj 2008
- Berørte pakker:
- phpgedview
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2008-2064.
- Yderligere oplysninger:
-
Man har opdaget at phpGedView, et program der giver onlineadgang til genealogiske data, gjorde det muligt for fjernangribere at opnå administratorrettigheder på grund af en programmeringsfejl.
Bemærk: Dette problem skyldtes en fundamental designfejl i grænsefladen (API), der forbinder phpGedView med eksterne programmer så som content management-systemer. Det var kun muligt at løse problemet ved helt at ændre API'et, hvilket ikke betragtes som passende i forbindelse med en sikkerhedsopdatering. Da der er tale om perifære funktioner, der formentlig ikke anvendes af størstedelen af pakkens brugere, blev det besluttet at fjerne disse grænseflader. Hvis du ikke desto mindre har brug for grænsefladen, bør du anvende en version af phpGedView tilbageført fra Debian lenny, der indeholder det helt ændrede API.
I den stabile distribution (etch), er dette problem rettet i version 4.0.2.dfsg-4.
I den ustabile distribution (sid), er dette problem rettet i version 4.1.e+4.1.5-1.
Vi anbefaler at du opgraderer din phpgedview-pakke.
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.