Aviso de seguridad de Debian
DSA-1267-1 webcalendar -- entrada no saneada
- Fecha del informe:
- 15 de mar de 2007
- Paquetes afectados:
- webcalendar
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2007-1343.
- Información adicional:
-
Se descubrió que WebCalendar, una aplicación de calendario escrita en PHP, no protegía suficientemente una variable interna, lo que permitía la inclusión de archivos remotos.
Para la distribución estable (sarge), este problema se ha corregido en la versión 0.9.45-4sarge6.
La próxima versión estable (etch), ya no contiene los paquetes de webcalendar.
Para la distribución inestable (sid), este problema se corregirá pronto.
Le recomendamos que actualice el paquete webcalendar.
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge6.dsc
- http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge6.diff.gz
- http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge6.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge6_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.