blob: 50b5588b05f64c2f0901361c2a1eb27c88da9dc3 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
<define-tag description>Unautorisierter Zugang zu Daten</define-tag>
<define-tag moreinfo>
<p>Nergal hat eine
<a href="http://sourceforge.net/tracker/index.php?func=detail&aid=458013&group_id=4593&atid=104593">\
Verwundbarkeit</a> im htsearch-Programm berichtet, das als Komponente im
ht://Dig-Paket enthalten ist, einem Indizier- und Suchsystem für kleine
Domains und Intranets. Mit der alten Version war es möglich, den
Parameter <kbd>-c</kbd> an das CGI-Programm zu übergeben, um eine andere
Konfigurationsdatei zu nutzen.</p>
<p>Ein bösartiger Benutzer konnte so htsearch dazu bringen, eine Datei
wie <kbd>/dev/zero</kbd> zu lesen und in eine Endlosschleife zu geraten. Wenn
der Benutzer Schreibzugriff auf dem Server hat, konnte er das Programm
zu einer Datei weisen und so beliebige Dateien erhalten, die von der
Webserver User ID lesbar sind.</p>
<p>Dieses Problem wurde in der Version 3.1.5-2.0potato.1 für Debian
GNU/Linux 2.2 behoben.</p>
<p>Wir empfehlen Ihnen, das htdig-Paket umgehend zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-080.data"
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914"
# $Id$
|
