blob: d0c8430a0d5f9a6f344ead50687aa69549701660 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>saneamiento no existente en nombre de archivo, inyección de SQL</define-tag>
<define-tag moreinfo>
<p>Los autores de phpgroupware, un sistema de trabajo en grupo basado
en web y escrito en PHP, descubrieron varias vulnerabilidades. El
proyecto Common Vulnerabilities and Exposures (Exposiciones y
Vulnerabilidades Comunes) identificó los siguientes problemas:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">CAN-2004-0016</a>
<p>En el módulo «calendar», no se forzaba a «guardar extensión» para
los archivos de vacaciones. Como resultado de esto, los scripts
php del lado del servidor se podrían ubicar en directorios a los
que se pudiera acceder remotamente y provocar que el servidor
web los ejecutara. Esta incidencia se resolvió obligando a usar
la extensión «.txt» para los archivos de vacaciones.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">CAN-2004-0017</a>
<p>Algunos problemas de inyección SQL (no se aseguraban los valores
usados en las cadenas SQL) en los módulos «calendar» e «infolog».</p>
</ul>
<p>Además, el mantenedor de Debian ajustó los permisos de los directorios
que podían escribir todos y que se creaban accidentalmente durante
la post-instalación.</p>
<p>Para la distribución estable (soody), este problema se ha corregido en
la versión 0.9.14-0.RC3.2.woody3.</p>
<p>Para la distribución inestable (sid), este problema se ha corregido en
la versión 0.9.14.007-4.</p>
<p>Le recomendamos que actualice los paquetes phpgroupware,
phpgroupware-calendar y phpgroupware-infolog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"
|