Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-392-1 webfs -- Pufferüberläufe, Datei- und Verzeichnisenthüllung

Datum des Berichts:

29. Sep 2003

Betroffene Pakete:

webfs

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8724, BugTraq ID 8726.
In Mitres CVE-Verzeichnis: CVE-2003-0832, CVE-2003-0833.

Weitere Informationen:

Jens Steube berichtete von zwei Verwundbarkeiten in webfs, einem leichtgewichtigem HTTP-Server für statische Inhalte.

• CAN-2003-0832 - Wenn virtuelles Hosting aktiviert ist, kann ein entfernter Client »..« als den Hostnamen in einer Anfrage angeben, was es erlaubt, eine Verzeichnisübersicht oder Dateien oberhalb des Dokument-Wurzelverzeichnisses zu erhalten.

• CAN-2003-0833 - Ein langer Pfadname könnte einen auf dem Stack vorgesehenen Puffer überlaufen lassen, was die Ausführung von willkürlichem Code erlaubt. Um diese Verwundbarkeit auszunutzen, würde es notwendig sein, Verzeichnisse auf dem Server an einem Ort zu erstellen, auf den vom Webserver zugegriffen werden kann. Im Zusammenhang mit CAN-2003-0832 könnte dies ein weltweit schreibbares Verzeichnis wie /var/tmp sein.

Für die aktuelle stable Distribution (Woody) wurden diese Probleme in Version 1.17.2 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 1.20 behoben.

Wir empfehlen Ihnen, Ihr webfs-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.dsc

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) polski Português Русский (Russkij) svenska

Wie stellt man die Standardsprache ein