Debians sikkerhedsbulletin

DSA-138-1 gallery -- fjernudnyttelse

Rapporteret den:

1. aug 2002

Berørte pakker:

gallery

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5375.
I Mitres CVE-ordbog: CVE-2002-1412.

Yderligere oplysninger:

Der er blevet fundet et problem i gallery (et webbaseret fotoalbumsværktøj): det var muligt at for en fjernbruger at angive variablen GALLERY_BASEDIR, hvilket gjorde det muligt at udføre kommandoer under webserverens uid.

Dette er rettet i version 1.2.5-7 af Debian-pakken og opstrøms version 1.3.1.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.dsc; http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz; http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0.diff.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-7.woody.0_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.