Säkerhetsbulletin från Debian
DSA-1580-1 phpgedview -- programmeringsfel
- Rapporterat den:
- 2008-05-20
- Berörda paket:
- phpgedview
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2008-2064.
- Ytterligare information:
-
Man har upptäckt att phpGedView, ett program som gör släktforskningsdata tillgänglig via webben, gjorde det möjligt för angripare att uppnå administratörsprivilegier på grund av ett programmeringsfel.
Observera: problemet var ett fundamentalt formgivningsfel i gränssnittet (API:et) för att ansluta phpGedView mot externa program, som till exempel innehållshanteringssystem. Det enda sättet att lösa problemet på var genom att skriva om hela API:t, vilket inte anses vara lämpligt för en säkerhetsuppdatering. Eftersom detta är externa funktioner som troligtvis inte används av en stor majoritet av paketets användare bestämdes det att dessa gränssnitt skulle tas bort. Om du ändå behöver ha gränssnittet rekommenderar vi att du använder en version av phpGedView som bakåtanpassats från Debian Lenny, och som har ett helt omskrivet API.
För den stabila utgåvan (Etch) har detta problem rättats i version 4.0.2.dfsg-4.
För den instabila utgåvan (Sid) har detta problem rättats i version 4.1.e+4.1.5-1.
Vi rekommenderar att ni uppgraderar ert phpgedview-paket.
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
- http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.