Debianin tietoturvatiedote
DSA-223-1 geneweb -- tietojen paljastuminen
- Ilmoitettu:
- 7. 1.2003
- Vaikutuksen alaiset paketit:
- geneweb
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6549.
Mitren CVE-sanakirjassa: CVE-2002-1390. - Lisätietoa:
-
Daniel de Rauglaudre, genewebin kirjoittaja, havaitsi ohjelmassa tietoturvaongelman. Geneweb on www-liittymällä varustettu sukututkimusohjelmisto, joka pyörii taustasovelluksena oletusarvoisesti portilla 2317. Tiedostopolkuja ei siistitä kunnolla, joten huolella muotoillun URL-osoitteen kautta on mahdollista saada geneweb lukemaan ja näyttämään mielivaltaisia tiedostoja järjestelmältä, jolla sitä ajetaan.
Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 4.06-2 .
Aiempi vakaa jakelu (potato) ei ole altis tälle.
Ongelma on korjattu epävakaan jakelun (sid) versiossa 4.09-1.
Suosittelemme päivittämään geneweb-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.dsc
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.diff.gz
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_alpha.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_alpha.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_arm.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_arm.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_i386.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_i386.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_ia64.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_ia64.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_hppa.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_hppa.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_m68k.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_m68k.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mips.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mips.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_s390.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_s390.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/geneweb/geneweb_4.06-2_sparc.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_sparc.deb
- http://security.debian.org/pool/updates/main/g/geneweb/gwtp_4.06-2_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.