Рекомендация Debian по безопасности
DSA-346-1 phpsysinfo -- проход сквозь каталоги
- Дата сообщения:
- 08.07.2003
- Затронутые пакеты:
- phpsysinfo
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7275, Идентификатор BugTraq 7286.
В каталоге Mitre CVE: CVE-2003-0536. - Более подробная информация:
-
Альберт Пигсек Галициа (Albert Puigsech Galicia) ripe@7a69ezine.org сообщил, что phpsysinfo, web-ориентированная программа просмотра информации о состоянии системы, содержит две уязвимости, которые могут позволить нападающему читать локальные файлы или выполнять произвольный код на PHP с привилегиями процесса web-сервера (обычно, www-data). Для использования этих уязвимостей требуется доступ на запись в какой-нибудь из каталогов системы.
В стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.0-3woody1.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время. См. сообщение об ошибке Debian #200543.
Мы рекомендуем вам обновить пакет phpsysinfo.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.