Debians sikkerhedsbulletin

DSA-1242-1 elog -- flere sårbarheder

Rapporteret den:

27. dec 2006

Berørte pakker:

elog

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2006-5063, CVE-2006-5790, CVE-2006-5791, CVE-2006-6318.

Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i elog, en webbaseret elektronisk logbog, hvilket kunne føre til udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CVE-2006-5063
Tilman Koschnick opdagede at redigering af logposter i HTML er sårbar over for udførelse af skripter på tværs af websteder (cross-site scripting). Denne opdatering slår den sårbare kode fra.
CVE-2006-5790
Ulf Härnhammar fra Debian Security Audit Project har opdaget flere formatstrengssårbarheder i elog, hvilket kunne føre til udførelse af vilkårlig kode.
CVE-2006-5791
Ulf Härnhammar fra Debian Security Audit Project har opdaget sårbarheder i forbindelse med udførelse af scripter på tværs af websteder ved oprettelse af nye logbogsposter.
CVE-2006-6318
Jayesh KS og Arun Kethipelly fra OS2A har opdaget at elog udførte utilstrækkelig fejlhåndtering i fortolkningen af config-filer, hvilket kunne føre til lammelsesangreb (denial of service) gennem en NULL-pointerdereference.

I den stabile distribution (sarge) er disse problemer rettet i version 2.5.7+r1558-4+sarge3.

I den kommende stabile distribution (etch) indeholder ikke længere elog.

I den ustabile distribution (sid) er disse problemer rettet i version 2.6.2+r1754-1.

Vi anbefaler at du opgraderer din elog-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.dsc; http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3.diff.gz; http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_arm.deb
HPPA:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge3_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.