Säkerhetsbulletin från Debian
DSA-2285-1 mapserver -- flera sårbarheter
- Rapporterat den:
- 2011-07-26
- Berörda paket:
- mapserver
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-2703, CVE-2011-2704.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i mapserver, ett CGI-baserat webbramverk för att publicera spatialdata och interaktiva kartapplikationer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2011-2703
Flera instanser av otillräcklig escaping av användarindata, ledande till SQL-injiceringsangrepp via OGC-filterkodning (i WMS-, WFS-, och SOS-filter).
- CVE-2011-2704
Saknade längdkontroller i behandling av OGC-filterkodning vilket kan leda till stackbaserat buffertspill samt exekvering av godtycklig kod.
För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 5.0.3-3+lenny7.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 5.6.5-2+squeeze2.
För uttestningsutgåvan (Squeeze) och den instabila distributionen (Sid), kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era mapserver-paket.
- CVE-2011-2703