Debians sikkerhedsbulletin

DSA-1239-1 sql-ledger -- flere sårbarheder

Rapporteret den:

17. dec 2006

Berørte pakker:

sql-ledger

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 386519.
I Mitres CVE-ordbog: CVE-2006-4244, CVE-2006-4731, CVE-2006-5872.

Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i SQL Ledger, et webbaseret dobbeltindtastnings-regnskabsprogram, hvilket kunne føre til udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problems:

CVE-2006-4244
Chris Travers opdagede at sessionshåndteringen kunne narres til at kapre eksisterende sessioner.
CVE-2006-4731
Chris Travers opdagede at mappegennemløbssårbarheder kunne udnyttes til at udføre vilkårlig Perl-kode.
CVE-2006-5872
Man har opdaget at manglende fornuftighedskontrol af inddata gjorde det muligt af udføre vilkårlig Perl-kode.

I den stabile distribution (sarge) er disse problemer rettet i version 2.4.7-2sarge1.

I den kommende stabile distribution (etch) er disse problemer rettet i version 2.6.21-1.

I den ustabile distribution (sid) er disse problemer rettet i version 2.6.21-1.

Vi anbefaler at du opgraderer dine sql-ledger-pakker.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:: http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/s/sql-ledger/sql-ledger_2.4.7-2sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.