Pomiń szybką nawigację

• O Debianie
• Wiadomości
• Jak zdobyć Debiana
• Pomoc
• Kącik deweloperów
• Mapa serwisu
• Wyszukiwanie

Porada dotycząca bezpieczeństwa Debiana

DSA-392-1 webfs -- przepełnienie bufora, plik i katalog na widoku

Data Zgłoszenia:

29.09.2003

Narażone Pakiety:

webfs

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 8724, Nr BugTraq 8726.
W słowniku CVE Mitre-a CVE-2003-0832, CVE-2003-0833.

Więcej informacji:

Jens Steube zgłosił dwie dziury w webfs, lekkiego serwera HTTP dla statycznej zawartości.

CAN-2003-0832 - Kiedy włączone są wirtualne hosty, zewnętrzny klient może w wywołaniu podać ".." jako nazwę hosta, co pozwala mu na otrzymanie listy katalogów i plików ponad katalogiem głównym serwera.

CAN-2003-0833 - długa nazwa ścieżki może przepełnić bufor umieszczony na stosie, pozwalając na wywołanie obcego kodu. Aby wykorzystać tę dziurę, konieczna jest zdolność do tworzenia katalogów na serwerze w miejscu które może być dostępne przez serwer webowy. W połączeniu z CAN-2003-0832, może to być zapisywalny katalog taki jak /var/tmp.

W aktualnej stabilnej dystrybucji (woody) powyższe problemy zostały wyeliminowane w wersji 1.17.2.

W niestabilnej dystrybucji (sid) powyższe problemy zostały wyeliminowane w wersji 1.20.

Zalecamy aktualizację pakietu webfs.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.dsc

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/w/webfs/webfs_1.17.2_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Ta strona jest również dostępna w następujących językach:

dansk Deutsch English español français 日本語 (Nihongo) Português Русский (Russkij) svenska

Jak ustawić domyślny język dokumentu