Debians sikkerhedsbulletin

DSA-1287-1 ldap-account-manager -- flere sårbarheder

Rapporteret den:

7. maj 2007

Berørte pakker:

ldap-account-manager

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 415379.
I Mitres CVE-ordbog: CVE-2006-7191, CVE-2007-1840.

Yderligere oplysninger:

To sårbarheder er opdaget i den version af ldap-account-manager som distribueres med Debian 3.1 (sarge).

CVE-2006-7191
En sårbarhed i forbindelse med en usikker PATH kunne gøre det muligt for lokale angribere at udføre vilkårlig kode med forøgede rettigheder, ved at levere en ondsindet udførebar rm-fil og angivelse af en PATH-miljøvariabel pegende på denne udførbare fil.
CVE-2007-1840
Ukorrekt indkapsling af HTML-indhold kunne gøre det muligt for en angriber at udføre skripter på tværs af websteder-angreb (XSS, cross-site scripting) og udføre vilkårlig kode i offerets browser i det påvirkede websteds sikkerhedskontekst.

I den gamle stabile distribution (sarge), er dette problem rettet i version 0.4.9-2sarge1. Nyere versioner af Debian (etch, lenny og sid) er ikke påvirkede.

Vi anbefaler at du opgraderer din ldap-account-manager-pakke.

Rettet i:

Debian GNU/Linux 3.1 (oldstable)

Kildekode:: http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.dsc; http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/l/ldap-account-manager/ldap-account-manager_0.4.9-2sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.