Sikkerhedsoplysninger / 2003 / Sikkerhedsoplysninger -- DSA-223-1 geneweb

Debians sikkerhedsbulletin

DSA-223-1 geneweb -- informationsafsløring

Rapporteret den:

7. jan 2003

Berørte pakker:

geneweb

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6549.
I Mitres CVE-ordbog: CVE-2002-1390.

Yderligere oplysninger:

Et sikkerhedsproblem er opdaget af Daniel de Rauglaudre, opstrømsforfatter af geneweb, et slægtsforskningsprogram med webgrænseflade. Som standard kører det som dæmon på port 2317. Stier kontrolleres ikke korrekt, hvorfor en omhyggeligt fremstillet URL fører til, at geneweb læser og viser vilkårlige filer på det system, programmet kører på.

I den aktuelle stabile distribution (woody) er dette problem rettet i version 4.06-2.

Den gamle stabile distribution (potato) er ikke påvirket.

I den ustabile distribution (sid) er dette problem rettet i version 4.09-1.

Vi anbefaler at du opgraderer din geneweb-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.dsc

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.diff.gz

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_alpha.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_arm.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_i386.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_ia64.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_hppa.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_m68k.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mips.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mipsel.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_powerpc.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_s390.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_sparc.deb

http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.