Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2510-1 extplorer

Säkerhetsbulletin från Debian

DSA-2510-1 extplorer -- Domänöverskridande anropsförfalskning

Rapporterat den:

2012-07-12

Berörda paket:

extplorer

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 678737.
I Mitres CVE-förteckning: CVE-2012-3362.

Ytterligare information:

John Leitch har upptäckt en sårbarhet i eXtplorer, en väldigt funktionsrik filhanterare för webbservrar, som kan exploateras av illasinnade personer för att utföra serveröverskridande anropsförfalskningsangrepp.

Denna sårbarhet tillåter användare att utföra vissa handlingar via HTTP-förfrågningar utan att utföra några valideringskontroller för att verifiera förfrågan. Detta kan exempelvis exploateras för att skapa ett administrativt användarkonto genom att lura en inloggad administratör att besöka en webblänk som är definierad av angriparen.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.0b6+dfsg.2-1+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.1.0b6+dfsg.3-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.1.0b6+dfsg.3-3.

Vi rekommenderar att ni uppgraderar era extplorer-paket.