blob: ae546dfc51efdbdb142ad0ce8a6f9232040ec4ca (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
<define-tag description>manglende kontrol af filnavn, SQL-indsprøjtning</define-tag>
<define-tag moreinfo>
<p>Forfatterne af phpgroupware, et webbaseret groupware-system skrevet i PHP,
har opdaget flere sårbarheder. Projektet Common Vulnerabilities and Exposures
har fundet frem til følgende problemer:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">\
CAN-2004-0016</a>
<p>I "calendar"-modulet, "save extension" ikke krævet feriefiler. Som et
resultat deraf kunne server-side php-skripter placeres i mapper, der
dernæst kunne fjerntilgås og få webserveren til at udføre dem. Dette
blev løst ved at kræve filudvidelsen ".txt" på feriefiler.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">\
CAN-2004-0017</a>
<p>Nogle SQL-indsprøjtningsproblemer i (manglende indkapsling af værdier
anvendt i SQL-strenge) modulerne "calendar" og "infolog".</p></li>
</ul>
<p>Desuden har Debians vedligeholder ændret rettighederne på verdensskrivbare
mapper, som ved et uheld blev oprettet af en tidligere postinst under
installeringen.</p>
<p>I den stabile distribution (woody) er dette problem rettet i
version 0.9.14-0.RC3.2.woody3.</p>
<p>I den ustabile distribution (sid) er dette problem rettet i
version 0.9.14.007-4.</p>
<p>Vi anbefaler at du opgraderer dine phpgroupware-, phpgroupware-calendar-
og phpgroupware-infolog-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e" mindelta="1"
|
