blob: c12d1dc81260aa817784bf0534de898838339b4c (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
#use wml::debian::translation-check translation="1936841f002ca29a0bf824712cb9bb1072141914"
<define-tag description>obtenção não-autorizada de dados</define-tag>
<define-tag moreinfo>
Nergal reportou uma <a
href="http://sourceforge.net/tracker/index.php?func=detail&aid=458013&group_id=4593&atid=104593">\
vulnerabilidade</a> no programa htsearch, que é distribuído no pacote
ht://Dig, um sistema de indexação e busca para pequenos domínios e
intranets. Usando versões anteriores, era possível passar o parâmetro
<kbd>-c</kbd> para o programa cgi, de forma a usar um outro arquivo de
configuração.
<p>Um usuário maldoso poderia apontar o htsearch para um arquivo como
<var>/dev/zero</var> e pôr o servidor num loop infinito, tentando ler
parâmetros de configuração. Se o usuário possui permissões de gravação
no servidor, ele pode apontar o programa para um arquivo de configuração
válido e pegar qualquer arquivo legível pelo uid do servidor web.
<p>Esse problema foi consertado na versão 3.1.5-2.0potato.1 para o
Debian GNU/Linux 2.2.
<p>Nós recomendamos que você atualize seu pacote htdig imediatamente.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-080.data"
|
