--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 897-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
15 de noviembre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : phpsysinfo
Vulnerabilidad : errores de programación
Ámbito : remoto
Sólo en Debian : no
Id. de CVE : CVE-2005-0870 CVE-2005-3347 CVE-2005-3348
Error Debian : 301118
Se han descubierto varias vulnerabilidades en phpsysinfo, una aplicación
escrita en PHP para mostrar información de la máquina. El proyecto Common
Vulnerabilities and Exposures identifica los siguientes problemas:
CVE-2005-0870
Maksymilian Arciemowicz descubrió varios problemas de guiones a través
del sitio. No todos estos errores se habían corregido en DSA 724.
CVE-2005-3347
Christopher Kunz descubrió que las variables locales se podían
sobreescribir sin restricciones y luego se utilizaban, lo que podía
provocar la inclusión de archivos arbitrarios.
CVE-2005-3348
Christopher Kunz descubrió que la entrada que suministraba el usuario
se utilizaba sin sanearla, provocando un problema de división de la
respuesta HTTP.
Para la distribución estable anterior (woody), estos problemas se han
corregido en la versión 2.0-3woody3.
Para la distribución estable (sarge), estos problemas se han corregido en
la versión 2.3-4sarge1.
Para la distribución inestable (sid), estos problemas se corregirán
pronto.
Le recomendamos que actualice el paquete phpsysinfo.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.0 alias woody
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3.dsc
Tamaño y suma MD5: 622 c6fe8cc0dece352dead56f7319e37191
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3.diff.gz
Tamaño y suma MD5: 3091 e7ce790076394c0fc0ddd9bc2fba23cf
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Tamaño y suma MD5: 48104 abd184ebc003aeba07d9945bb9c6ff0f
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3_all.deb
Tamaño y suma MD5: 42334 4991a7c22521888a9aba3db88e79b6ce
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1.dsc
Tamaño y suma MD5: 596 12c1913a974e30596f07729d8fb660f9
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1.diff.gz
Tamaño y suma MD5: 9861 0b621fec1be1e26a5dfa160ce9612aac
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3.orig.tar.gz
Tamaño y suma MD5: 163674 8e9a2b7a099e26cbd85f140475512ccc
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1_all.deb
Tamaño y suma MD5: 164704 2ef5fb9eb652f24ecae3f5aa4967fa3d
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpjexYKjxp32.pgp
Description: PGP signature