Рекомендация Debian по безопасности
DSA-2103-1 smbind -- SQL-инъекция
- Дата сообщения:
- 05.09.2010
- Затронутые пакеты:
- smbind
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
-
Было обнаружено, что smbind, инструмент на основе PHP для управления зонами DNS в BIND, неправильно выполняет очистку ввода. Неаутентифицированный удалённый злоумышленник может выполнить произвольные команды SQL или получить доступ к учётной записи администратора.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.4.7-3+lenny1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.4.7-5, в скором времени она будет перенесена в тестируемый выпуск (squeeze).
Рекомендуется обновить пакет smbind (0.4.7-3+lenny1).
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.dsc
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/smbind/smbind_0.4.7-3+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.