Рекомендация Debian по безопасности
DSA-1580-1 phpgedview -- ошибка программирования
- Дата сообщения:
- 20.05.2008
- Затронутые пакеты:
- phpgedview
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2008-2064.
- Более подробная информация:
-
Было обнаружено, что phpGedView, приложение, предоставляющее онлайн-досуп к генеалогическим данным, позволяет удалённым злоумышленникам получить права администратора из-за ошибки программирования.
Внимание: эта проблема представляет собой недостаток проектирования интерфейса (API) для подключения phpGedView к внешним программам, таким как системы управления содержимым. Разрешение этой проблемы было возможно только путём полной переработки API, что не может считаться подходящим исправлением для обновления безопасности. Поскольку это периферийные функции, которые, возможно, не используются большим количеством пользователей пакета, было решено удалить эти интерфейсы. Если вам всё равно требуются эти интерфейсы, вам рекомендуется использовать версию phpGedView, адаптированную из выпуска Debian Lenny, которая имеет полностью переработанный API.
В стабильном выпуске (etch) эта проблема была исправлена в версии 4.0.2.dfsg-4.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.1.e+4.1.5-1.
Рекомендуется обновить пакет phpgedview.
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.