-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 897-1 security@debian.org http://www.debian.org/security/ Martin Schulze 15 de noviembre de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : phpsysinfo Vulnerabilidad : errores de programación Ámbito : remoto Sólo en Debian : no Id. de CVE : CVE-2005-0870 CVE-2005-3347 CVE-2005-3348 Error Debian : 301118 Se han descubierto varias vulnerabilidades en phpsysinfo, una aplicación escrita en PHP para mostrar información de la máquina. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CVE-2005-0870 Maksymilian Arciemowicz descubrió varios problemas de guiones a través del sitio. No todos estos errores se habían corregido en DSA 724. CVE-2005-3347 Christopher Kunz descubrió que las variables locales se podían sobreescribir sin restricciones y luego se utilizaban, lo que podía provocar la inclusión de archivos arbitrarios. CVE-2005-3348 Christopher Kunz descubrió que la entrada que suministraba el usuario se utilizaba sin sanearla, provocando un problema de división de la respuesta HTTP. Para la distribución estable anterior (woody), estos problemas se han corregido en la versión 2.0-3woody3. Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.3-4sarge1. Para la distribución inestable (sid), estos problemas se corregirán pronto. Le recomendamos que actualice el paquete phpsysinfo. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final del aviso: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del final del aviso para la configuración adecuada. Debian GNU/Linux 3.0 alias woody -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3.dsc Tamaño y suma MD5: 622 c6fe8cc0dece352dead56f7319e37191 http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3.diff.gz Tamaño y suma MD5: 3091 e7ce790076394c0fc0ddd9bc2fba23cf http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz Tamaño y suma MD5: 48104 abd184ebc003aeba07d9945bb9c6ff0f Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody3_all.deb Tamaño y suma MD5: 42334 4991a7c22521888a9aba3db88e79b6ce Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1.dsc Tamaño y suma MD5: 596 12c1913a974e30596f07729d8fb660f9 http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1.diff.gz Tamaño y suma MD5: 9861 0b621fec1be1e26a5dfa160ce9612aac http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3.orig.tar.gz Tamaño y suma MD5: 163674 8e9a2b7a099e26cbd85f140475512ccc Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.3-4sarge1_all.deb Tamaño y suma MD5: 164704 2ef5fb9eb652f24ecae3f5aa4967fa3d Estos archivos probablemente se pasen a la distribución estable en su próxima revisión. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Información del paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpjexYKjxp32.pgp
Description: PGP signature