blob: 9d2c579b212f90c2c4bc129b0d64f0a9ca2eb1e5 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>pominięta nazwa pliku, SQL injection</define-tag>
<define-tag moreinfo>
<p>Autorzy phpgroupware, napisanemgo w PHP systemu pracy grupowej opartemu o web,
znaleźli kilka naruszeń bezpieczeństwa. Projekt Common Vulnerabilities
and Exposures rozpoznał następujące problemy:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">CAN-2004-0016</a>
<p>W module "calendar", "save extension" nie zostaje narzucane dla plików
holiday. W rezultacie skrypty php po stronie serwera mogą być umieszczone
w katalogach w taki sposób, że możliwy jest późniejszy zewnętrzny dostęp do nich
i spowodowanie wykonania skryptów przez webserver. Zostało to rozwiązane poprzez
narzucenie rozszeżenia ".txt" dla plików holiday.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">CAN-2004-0017</a>
<p>Pewne problemy SQL injection (wartości bez wyjścia używane w łańcuchach
SQL) w modułach "calendar" i "infolog".</p>
</ul>
<p>Dodatkowo opiekun Debiana dostosował prawa do ogólnie zapisywalnych
katalogów tak że zostały one nieumyślnie tworzone w czasie instalacji przez
poprzedni postinst.</p>
<p>W stabilnej dystrybucji (woody) powyższy problem został wyeliminowany
w wersji 0.9.14-0.RC3.2.woody3.</p>
<p>W dystrybucji niestabilnej (sid) powyższy problem został wyeliminowany w wersji
0.9.14.007-4.</p>
<p>Zalecamy aktualizację pakietów phpgroupware, phpgroupware-calendar oraz
phpgroupware-infolog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"
|
