Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-999-1 lurker -- Mehrere Verwundbarkeiten

Datum des Berichts:

14. Mär 2006

Betroffene Pakete:

lurker

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2006-1062, CVE-2006-1063, CVE-2006-1064.

Weitere Informationen:

Mehrere sicherheitsrelevante Probleme wurden in Lurker entdeckt, einem Archivierungswerkzeug für Mailinglisten mit integrierter Suchmaschine. Das Common Vulnerabilities and Exposures Project legt die folgenden Probleme fest:

• CVE-2006-1062

  Lurkers Methode zur Angabe von Konfigurationsdateien war anfällig dafür, umgangen zu werden. Da Lurker Abschnitte der Konfigurationsdateien nicht analysiert, sondern direkt in seiner Ausgabe einschließt, könnte ein Angreifer Lurker dahingehend manipulieren, jede vom Benutzer www-data lesbare Datei einzulesen.

• CVE-2006-1063

  Es ist einem entfernten Angreifer möglich, in jedem beschreibbaren Verzeichnis mit dem Namen mbox Dateien zu erstellen oder zu überschreiben.

• CVE-2006-1064

  Fehlende Eingabeüberprüfung erlaubt es einem Angreifer, beliebige Web-Skripte oder HTML einzuschleusen.

Die alte Stable-Distribution (Woody) enthält das Lurker-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.2-5sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.1-1 behoben.

Wir empfehlen Ihnen, Ihr Lurker-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1.dsc

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1.diff.gz

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/l/lurker/lurker_1.2-5sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français Português svenska

Wie stellt man die Standardsprache ein