Csomag: bonsai
Sebezhetőség: számos
Probléma típus: távoli
Debian-specifikus: nem
CVE Ids: CAN-2003-0152 CAN-2003-0153 CAN-2003-0154 CAN-2003-0155
Rémi Perrot javított ki számos biztonsággal kapcsolatos hibát a bonsai-ban, ami a Mozilla CVS lekérdező webes interfész. A sebezhetőségek tartalmaznak tetszőleges kódfuttatást, oldalközi szkriptelhetőséget és konfigurációs paraméterekhez való hozzáférést. A CVE projekt az alábbi problémákat azonosította:* CAN-2003-0152 - Távoli végrehajtás és tetszőleges parancsok futtatása a www-data nevében.
* CAN-2003-0153 - Teljes path közzététel
* CAN-2003-0154 - Oldalközi scriptelési támadások
* CAN-2003-0155 - Nemautentikált hozzáférés a paraméter oldalhoz
Az aktuális stabil terjesztés (woody) ezt a problémát a 1.3+cvs20020224-1woody1 verzióban javítja.
A régi stabil terjesztés (potato) nem érintett, lévén nem tartalmazza a bonsait.
Az instabil terjesztés (sid) ezt a problémát a 1.3+cvs20030317-1 verzióban javítja.
A bonsai csomagok frissítését javasoljuk.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.