Рекомендация Debian по безопасности

DSA-1639-1 twiki -- выполнение команды

Дата сообщения:
19.09.2008
Затронутые пакеты:
twiki
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 499534.
В каталоге Mitre CVE: CVE-2008-3195.
Более подробная информация:

Было обнаружено, что twiki, платформа для совместной работы на базе веб, неправильно очищает параметр изображения в сценарии настройки. Это позволяет удалённым пользователям выполнять произвольные команды в системе, либо читать любые файлы, доступ для чтения к которым открыт пользователю веб-сервера.

В стабильном выпуске (etch) эта проблема была исправлена в версии 1:4.0.5-9.1etch1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакет twiki.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/t/twiki/twiki_4.0.5-9.1etch1.dsc
http://security.debian.org/pool/updates/main/t/twiki/twiki_4.0.5.orig.tar.gz
http://security.debian.org/pool/updates/main/t/twiki/twiki_4.0.5-9.1etch1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/t/twiki/twiki_4.0.5-9.1etch1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.