Bulletin d'alerte Debian
DSA-1580-1 phpgedview -- Erreur de programmation
- Date du rapport :
- 20 mai 2008
- Paquets concernés :
- phpgedview
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-2064.
- Plus de précisions :
-
On a découvert que phpGedView, une application pour fournir un accès en ligne à des données généalogiques, permettait à un attaquant distant d'obtenir les droits de l'administrateur à cause d'une erreur de programmation.
Note : Ce problème était un défaut de conception fondamental dans l'interface de connexion de phpGedView avec des programmes externes comme les systèmes de gestion de contenu. La résolution de ce problème n'a été possible qu'en revoyant intégralement l'interface de programmation d'application, ce qui n'est pas considéré comme approprié pour une mise à jour de sécurité. Comme il s'agit de fonctions périphériques qui ne sont probablement pas utilisées par une grande majorité d'utilisateurs du paquet, il a été décidé de supprimer ces interfaces. Si vous avez tout de même besoin de ces interfaces, vous devriez utiliser une version de phpGedView rétroportée depuis Lenny, avec une interface complètement revue.
Pour la distribution stable (Etch), ce problème a été corrigé dans la version 4.0.2.dfsg-4.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 4.1.e+4.1.5-1.
Nous vous recommandons de mettre à jour votre paquet phpgedview.
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.