Aviso de seguridad de Debian

DSA-346-1 phpsysinfo -- travesía por directorio

Fecha del informe:

8 de jul de 2003

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7275, Id. en BugTraq 7286.
En el diccionario CVE de Mitre: CVE-2003-0536.

Información adicional:

Albert Puigsech Galicia ripe@7a69ezine.org informó de que phpsysinfo, un programa para la web que muestra información sobre el estado del sistema, contenía dos vulnerabilidades que podrían permitir que se leyeran archivos locales o que se ejecutara código PHP arbitrario, con los privilegios del proceso servidor de web (normalmente, www-data). Estas vulnerabilidades necesitaban acceso a un directorio del sistema en el que se pudiera escribir para que se pudieran aprovechar.

Para la distribución estable (woody), este problema se ha corredigo en la versión 2.0-3woody1.

Para la distribución inestable (sid), este problema se corregirá pronto. Vea el error nº 200543 de Debian.

Le recomendamos que actualice el paquete phpsysinfo.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.dsc; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1.diff.gz; http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/p/phpsysinfo/phpsysinfo_2.0-3woody1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.