Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
phpgroupware
(any)
phpgroupware-addressbook
(any)
phpgroupware-admin
(any)
phpgroupware-api
(any)
phpgroupware-api-doc
(any)
phpgroupware-bookkeeping
(any)
phpgroupware-bookmarks
(any)
phpgroupware-brewer
(any)
phpgroupware-calendar
(any)
phpgroupware-chat
(any)
phpgroupware-chora
(any)
phpgroupware-comic
(any)
phpgroupware-core
(any)
phpgroupware-core-doc
(any)
phpgroupware-developer-tools
(any)
phpgroupware-dj
(any)
phpgroupware-eldaptir
(any)
phpgroupware-email
(any)
phpgroupware-filemanager
(any)
phpgroupware-forum
(any)
phpgroupware-ftp
(any)
phpgroupware-headlines
(any)
phpgroupware-hr
(any)
phpgroupware-img
(any)
phpgroupware-infolog
(any)
phpgroupware-inv
(any)
phpgroupware-manual
(any)
phpgroupware-messenger
(any)
phpgroupware-napster
(any)
phpgroupware-news-admin
(any)
phpgroupware-nntp
(any)
phpgroupware-notes
(any)
phpgroupware-phonelog
(any)
phpgroupware-phpsysinfo
(any)
phpgroupware-phpwebhosting
(any)
phpgroupware-polls
(any)
phpgroupware-preferences
(any)
phpgroupware-projects
(any)
phpgroupware-registration
(any)
phpgroupware-setup
(any)
phpgroupware-skel
(any)
phpgroupware-soap
(any)
phpgroupware-stocks
(any)
phpgroupware-todo
(any)
phpgroupware-tts
(any)
phpgroupware-wap
(any)
phpgroupware-weather
(any)
phpgroupware-xmlrpc
(any)
Описание
Авторы phpgroupware, web-ориентированной системы совместной работы,
написанной на PHP, обнаружили несколько уязвимостей. Проект Common
Vulnerabilities and Exposures идентифицировал следующие проблемы:
CAN-2004-0016
В модуле calendar команда "сохранить расширение" не применяется к
файлам выходных дней. В результате скрипты php на стороне сервера
могут оказаться в каталогах, к которым затем можно получить
удалённый доступ и заставить web-сервер выполнить их. Это решается
добавлением расширения ".txt" к файлам выходных дней.
CAN-2004-0017
Некоторые проблемы со вставкой SQL (не экранируются значения,
используемые в строках SQL) в модулях calendar и infolog.
Кроме того, сопровождающий пакета Debian привёл в порядок права
доступа на каталоги, куда разрешена запись всем, случайно создаваемые
старым скриптом postinst во время установки пакета
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 0.9.14-0.RC3.2.woody3.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 0.9.14.007-4.
Мы рекомендуем вам обновить пакеты phpgroupware, phpgroupware-calendar
и phpgroupware-infolog.
написанной на PHP, обнаружили несколько уязвимостей. Проект Common
Vulnerabilities and Exposures идентифицировал следующие проблемы:
CAN-2004-0016
В модуле calendar команда "сохранить расширение" не применяется к
файлам выходных дней. В результате скрипты php на стороне сервера
могут оказаться в каталогах, к которым затем можно получить
удалённый доступ и заставить web-сервер выполнить их. Это решается
добавлением расширения ".txt" к файлам выходных дней.
CAN-2004-0017
Некоторые проблемы со вставкой SQL (не экранируются значения,
используемые в строках SQL) в модулях calendar и infolog.
Кроме того, сопровождающий пакета Debian привёл в порядок права
доступа на каталоги, куда разрешена запись всем, случайно создаваемые
старым скриптом postinst во время установки пакета
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 0.9.14-0.RC3.2.woody3.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 0.9.14.007-4.
Мы рекомендуем вам обновить пакеты phpgroupware, phpgroupware-calendar
и phpgroupware-infolog.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
phpgroupware-addressbook - 0.9.14-0.RC3.2.woody3
phpgroupware-admin - 0.9.14-0.RC3.2.woody3
phpgroupware-api-doc - 0.9.14-0.RC3.2.woody3
phpgroupware-api - 0.9.14-0.RC3.2.woody3
phpgroupware-bookkeeping - 0.9.14-0.RC3.2.woody3
phpgroupware-bookmarks - 0.9.14-0.RC3.2.woody3
phpgroupware-brewer - 0.9.14-0.RC3.2.woody3
phpgroupware-calendar - 0.9.14-0.RC3.2.woody3
phpgroupware-chat - 0.9.14-0.RC3.2.woody3
phpgroupware-chora - 0.9.14-0.RC3.2.woody3
phpgroupware-comic - 0.9.14-0.RC3.2.woody3
phpgroupware-core-doc - 0.9.14-0.RC3.2.woody3
phpgroupware-core - 0.9.14-0.RC3.2.woody3
phpgroupware-developer-tools - 0.9.14-0.RC3.2.woody3
phpgroupware-dj - 0.9.14-0.RC3.2.woody3
phpgroupware-eldaptir - 0.9.14-0.RC3.2.woody3
phpgroupware-email - 0.9.14-0.RC3.2.woody3
phpgroupware-filemanager - 0.9.14-0.RC3.2.woody3
phpgroupware-forum - 0.9.14-0.RC3.2.woody3
phpgroupware-ftp - 0.9.14-0.RC3.2.woody3
phpgroupware-headlines - 0.9.14-0.RC3.2.woody3
phpgroupware-hr - 0.9.14-0.RC3.2.woody3
phpgroupware-img - 0.9.14-0.RC3.2.woody3
phpgroupware-infolog - 0.9.14-0.RC3.2.woody3
phpgroupware-inv - 0.9.14-0.RC3.2.woody3
phpgroupware-manual - 0.9.14-0.RC3.2.woody3
phpgroupware-messenger - 0.9.14-0.RC3.2.woody3
phpgroupware-napster - 0.9.14-0.RC3.2.woody3
phpgroupware-news-admin - 0.9.14-0.RC3.2.woody3
phpgroupware-nntp - 0.9.14-0.RC3.2.woody3
phpgroupware-notes - 0.9.14-0.RC3.2.woody3
phpgroupware-phonelog - 0.9.14-0.RC3.2.woody3
phpgroupware-phpsysinfo - 0.9.14-0.RC3.2.woody3
phpgroupware-phpwebhosting - 0.9.14-0.RC3.2.woody3
phpgroupware-polls - 0.9.14-0.RC3.2.woody3
phpgroupware-preferences - 0.9.14-0.RC3.2.woody3
phpgroupware-projects - 0.9.14-0.RC3.2.woody3
phpgroupware-registration - 0.9.14-0.RC3.2.woody3
phpgroupware-setup - 0.9.14-0.RC3.2.woody3
phpgroupware-skel - 0.9.14-0.RC3.2.woody3
phpgroupware-soap - 0.9.14-0.RC3.2.woody3
phpgroupware-stocks - 0.9.14-0.RC3.2.woody3
phpgroupware-todo - 0.9.14-0.RC3.2.woody3
phpgroupware-tts - 0.9.14-0.RC3.2.woody3
phpgroupware-wap - 0.9.14-0.RC3.2.woody3
phpgroupware-weather - 0.9.14-0.RC3.2.woody3
phpgroupware-xmlrpc - 0.9.14-0.RC3.2.woody3
phpgroupware - 0.9.14-0.RC3.2.woody3
Debian GNU/Linux 3.0:
noarch:
phpgroupware-addressbook - 0.9.14-0.RC3.2.woody3
phpgroupware-admin - 0.9.14-0.RC3.2.woody3
phpgroupware-api-doc - 0.9.14-0.RC3.2.woody3
phpgroupware-api - 0.9.14-0.RC3.2.woody3
phpgroupware-bookkeeping - 0.9.14-0.RC3.2.woody3
phpgroupware-bookmarks - 0.9.14-0.RC3.2.woody3
phpgroupware-brewer - 0.9.14-0.RC3.2.woody3
phpgroupware-calendar - 0.9.14-0.RC3.2.woody3
phpgroupware-chat - 0.9.14-0.RC3.2.woody3
phpgroupware-chora - 0.9.14-0.RC3.2.woody3
phpgroupware-comic - 0.9.14-0.RC3.2.woody3
phpgroupware-core-doc - 0.9.14-0.RC3.2.woody3
phpgroupware-core - 0.9.14-0.RC3.2.woody3
phpgroupware-developer-tools - 0.9.14-0.RC3.2.woody3
phpgroupware-dj - 0.9.14-0.RC3.2.woody3
phpgroupware-eldaptir - 0.9.14-0.RC3.2.woody3
phpgroupware-email - 0.9.14-0.RC3.2.woody3
phpgroupware-filemanager - 0.9.14-0.RC3.2.woody3
phpgroupware-forum - 0.9.14-0.RC3.2.woody3
phpgroupware-ftp - 0.9.14-0.RC3.2.woody3
phpgroupware-headlines - 0.9.14-0.RC3.2.woody3
phpgroupware-hr - 0.9.14-0.RC3.2.woody3
phpgroupware-img - 0.9.14-0.RC3.2.woody3
phpgroupware-infolog - 0.9.14-0.RC3.2.woody3
phpgroupware-inv - 0.9.14-0.RC3.2.woody3
phpgroupware-manual - 0.9.14-0.RC3.2.woody3
phpgroupware-messenger - 0.9.14-0.RC3.2.woody3
phpgroupware-napster - 0.9.14-0.RC3.2.woody3
phpgroupware-news-admin - 0.9.14-0.RC3.2.woody3
phpgroupware-nntp - 0.9.14-0.RC3.2.woody3
phpgroupware-notes - 0.9.14-0.RC3.2.woody3
phpgroupware-phonelog - 0.9.14-0.RC3.2.woody3
phpgroupware-phpsysinfo - 0.9.14-0.RC3.2.woody3
phpgroupware-phpwebhosting - 0.9.14-0.RC3.2.woody3
phpgroupware-polls - 0.9.14-0.RC3.2.woody3
phpgroupware-preferences - 0.9.14-0.RC3.2.woody3
phpgroupware-projects - 0.9.14-0.RC3.2.woody3
phpgroupware-registration - 0.9.14-0.RC3.2.woody3
phpgroupware-setup - 0.9.14-0.RC3.2.woody3
phpgroupware-skel - 0.9.14-0.RC3.2.woody3
phpgroupware-soap - 0.9.14-0.RC3.2.woody3
phpgroupware-stocks - 0.9.14-0.RC3.2.woody3
phpgroupware-todo - 0.9.14-0.RC3.2.woody3
phpgroupware-tts - 0.9.14-0.RC3.2.woody3
phpgroupware-wap - 0.9.14-0.RC3.2.woody3
phpgroupware-weather - 0.9.14-0.RC3.2.woody3
phpgroupware-xmlrpc - 0.9.14-0.RC3.2.woody3
phpgroupware - 0.9.14-0.RC3.2.woody3
Ссылки
http://www.debian.org/security/dsa-419/
Источник: CVE
Наименование: CVE-2004-0016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0016
Источник: CVE
Наименование: CVE-2004-0017
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0017
Источник: CVE
Наименование: CVE-2004-0016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0016
Источник: CVE
Наименование: CVE-2004-0017
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0017