Debian-Sicherheitsankündigung
DSA-1580-1 phpgedview -- Programmierfehler
- Datum des Berichts:
- 20. Mai 2008
- Betroffene Pakete:
- phpgedview
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-2064.
- Weitere Informationen:
-
Es wurde entdeckt, dass phpGedView, einer Anwendung um Onlinezugang zu genealogisch Daten bereitzustellen, es Angreifern aus der Ferne erlaubte, aufgrund eines Programmierfehlers Administratorrechte zu erlangen.
Hinweis: Dieses Problem war ein fundamentaler Designfehler in der Schnittstelle (API), um phpGedView mit externen Programmen wie CMS zu verbinden. Die Behebung dieses Problems war nur möglich, indem das API komplett überarbeitet wurde, was für eine Sicherheitsaktualisierung als nicht angemessen angesehen wird. Da diese peripheren Funktionen wahrscheinlich nicht von einer großen Mehrheit von Paketbenutzern verwandt werden, wurde entschieden, diese Schnittstellen zu entfernen. Falls Sie trotzdem diese Schnittstelle benötigen, empfehlen wir Ihnen, eine von Debian Lenny rückportierte Version von phpGedView zu verwenden, die ein komplett überarbeitetes API hat.
Für die stabile Distribution (Etch) wurde dieses Problem in Version 4.0.2.dfsg-4 behoben.
Für die instabile Distribution (Sid) wurde dieses Problem in Version 4.1.e+4.1.5-1 behoben.
Wir empfehlen, dass Sie Ihr phpgedview-Paket aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.