swedish/security/2004/dsa-419.wml


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e" mindelta="1"
<define-tag description>saknad städning av filnamn, SQL-injicering</define-tag>
<define-tag moreinfo>
<p>
Författarna till phpgroupware, ett webbaserat grupprogramvarusystem skrivet i
PHP, har upptäckt flera sårbarheter.
Projektet <span lang="en">Common Vulnerabilities and Exposures</span>
identifierar följande problem:
</p>

<ul>
 <li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0016">CAN-2004-0016</a>
  <p>
   I &rdquo;calendar&rdquo;-modulen upprätthölls inte &rdquo;spara
   filtillägg&rdquo; för helgfiler.
   Detta ledde till att php-skript på servern kunde läggas i kataloger som kunde
   anropas utifrån och det gick att få webbservern att exekvera dessa.
   Detta löstes genom att tvinga helgfiler att ha filtillägget
   &rdquo;.txt&rdquo;.
  </p>

 <li>
  <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0017">CAN-2004-0017</a>
  <p>
   Några problem med SQL-injicering (specialtecken i värden i SQL-strängar
   ersattes ej) i modulerna &rdquo;calendar&rdquo; och &rdquo;infolog&rdquo;.
  </p>
</ul>

<p>
Dessutom ändrade ansvariga för Debianpaketet behörigheten för kataloger alla
kunde skriva i som av misstag skapades av det tidigare postinst-skriptet vid
installationen.
</p>

<p>
För den stabila utgåvan (Woody) har detta problem rättats i version
0.9.14-0.RC3.2.woody3.
</p>

<p>
För den instabila utgåvan (Sid) har detta problem rättats i version
0.9.14.007-4.
</p>

<p>
Vi rekommenderar att ni uppgraderar era
phpgroupware-, phpgroupware-calendar- och phpgroupware-infolog-paket.
</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-419.data"