Alerta de Segurança Debian
DSA-346-1 phpsysinfo -- passagem de diretório
- Data do Alerta:
- 08 Jul 2003
- Pacotes Afetados:
- phpsysinfo
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7275, ID BugTraq 7286.
No dicionário CVE do Mitre: CVE-2003-0536. - Informações adicionais:
-
Albert Puigsech Galicia ripe@7a69ezine.org relatou que o phpsysinfo, um programa web que exibe informações sobre o sistema, contém duas vulnerabilidades que podem permitir que arquivos locais sejam lidos, ou que códigos PHP arbitrários sejam executados, sob os privilégios do processo do servidor web (geralmente o www-data). Estas vulnerabilidades requerem acesso a um diretório do sistema no qual se possa escrever para serem exploradas.
Na atual distribuição estável (woody) este problema foi corrigido na versão 2.0-3woody1.
Na distribuição instável (sid) este problema será corrigido em breve. Veja o bug Debian #200543.
Nós recomendamos que você atualize seus pacotes phpsysinfo.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.