Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
phpgroupware
(any)
phpgroupware-addressbook
(any)
phpgroupware-admin
(any)
phpgroupware-api
(any)
phpgroupware-api-doc
(any)
phpgroupware-bookkeeping
(any)
phpgroupware-bookmarks
(any)
phpgroupware-brewer
(any)
phpgroupware-calendar
(any)
phpgroupware-chat
(any)
phpgroupware-chora
(any)
phpgroupware-comic
(any)
phpgroupware-core
(any)
phpgroupware-core-doc
(any)
phpgroupware-developer-tools
(any)
phpgroupware-dj
(any)
phpgroupware-eldaptir
(any)
phpgroupware-email
(any)
phpgroupware-filemanager
(any)
phpgroupware-forum
(any)
phpgroupware-ftp
(any)
phpgroupware-headlines
(any)
phpgroupware-hr
(any)
phpgroupware-img
(any)
phpgroupware-infolog
(any)
phpgroupware-inv
(any)
phpgroupware-manual
(any)
phpgroupware-messenger
(any)
phpgroupware-napster
(any)
phpgroupware-news-admin
(any)
phpgroupware-nntp
(any)
phpgroupware-notes
(any)
phpgroupware-phonelog
(any)
phpgroupware-phpsysinfo
(any)
phpgroupware-phpwebhosting
(any)
phpgroupware-polls
(any)
phpgroupware-preferences
(any)
phpgroupware-projects
(any)
phpgroupware-registration
(any)
phpgroupware-setup
(any)
phpgroupware-skel
(any)
phpgroupware-soap
(any)
phpgroupware-stocks
(any)
phpgroupware-todo
(any)
phpgroupware-tts
(any)
phpgroupware-wap
(any)
phpgroupware-weather
(any)
phpgroupware-xmlrpc
(any)
Описание
Обнаружены несколько уязвимостей в phpgroupware:
CAN-2003-0504: Несколько уязвимостей к скриптам, перекрёстным между
сайтами, (XSS) в Phpgroupware 0.9.14.003 (webdistro) позволяют
удалённым нападающим вставить произвольный код HTML или web-скрипт,
как показано на примере запроса к index.php в модуле адресной книги.
CAN-2003-0599: Неизвестная уязвимость в поддержке Виртуальной
файловой системы (Virtual File System, VFS) в phpGroupWare 0.9.16preRC
и версиях ранее 0.9.14.004 с неизвестными последствиями, связанная
с путём VFS под корнем web-документа.
CAN-2003-0657: Множество уязвимостей к вставке SQL в модуле infolog
phpgroupware может позволить удалённым нападающим выполнить
произвольные операторы SQL.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.14-0.RC3.2.woody2.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время. См. сообщение об ошибке Debian 201980.
Мы рекомендуем вам обновить пакет phpgroupware.
CAN-2003-0504: Несколько уязвимостей к скриптам, перекрёстным между
сайтами, (XSS) в Phpgroupware 0.9.14.003 (webdistro) позволяют
удалённым нападающим вставить произвольный код HTML или web-скрипт,
как показано на примере запроса к index.php в модуле адресной книги.
CAN-2003-0599: Неизвестная уязвимость в поддержке Виртуальной
файловой системы (Virtual File System, VFS) в phpGroupWare 0.9.16preRC
и версиях ранее 0.9.14.004 с неизвестными последствиями, связанная
с путём VFS под корнем web-документа.
CAN-2003-0657: Множество уязвимостей к вставке SQL в модуле infolog
phpgroupware может позволить удалённым нападающим выполнить
произвольные операторы SQL.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.14-0.RC3.2.woody2.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время. См. сообщение об ошибке Debian 201980.
Мы рекомендуем вам обновить пакет phpgroupware.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
noarch:
phpgroupware-addressbook - 0.9.14-0.RC3.2.woody2
phpgroupware-admin - 0.9.14-0.RC3.2.woody2
phpgroupware-api-doc - 0.9.14-0.RC3.2.woody2
phpgroupware-api - 0.9.14-0.RC3.2.woody2
phpgroupware-bookkeeping - 0.9.14-0.RC3.2.woody2
phpgroupware-bookmarks - 0.9.14-0.RC3.2.woody2
phpgroupware-brewer - 0.9.14-0.RC3.2.woody2
phpgroupware-calendar - 0.9.14-0.RC3.2.woody2
phpgroupware-chat - 0.9.14-0.RC3.2.woody2
phpgroupware-chora - 0.9.14-0.RC3.2.woody2
phpgroupware-comic - 0.9.14-0.RC3.2.woody2
phpgroupware-core-doc - 0.9.14-0.RC3.2.woody2
phpgroupware-core - 0.9.14-0.RC3.2.woody2
phpgroupware-developer-tools - 0.9.14-0.RC3.2.woody2
phpgroupware-dj - 0.9.14-0.RC3.2.woody2
phpgroupware-eldaptir - 0.9.14-0.RC3.2.woody2
phpgroupware-email - 0.9.14-0.RC3.2.woody2
phpgroupware-filemanager - 0.9.14-0.RC3.2.woody2
phpgroupware-forum - 0.9.14-0.RC3.2.woody2
phpgroupware-ftp - 0.9.14-0.RC3.2.woody2
phpgroupware-headlines - 0.9.14-0.RC3.2.woody2
phpgroupware-hr - 0.9.14-0.RC3.2.woody2
phpgroupware-img - 0.9.14-0.RC3.2.woody2
phpgroupware-infolog - 0.9.14-0.RC3.2.woody2
phpgroupware-inv - 0.9.14-0.RC3.2.woody2
phpgroupware-manual - 0.9.14-0.RC3.2.woody2
phpgroupware-messenger - 0.9.14-0.RC3.2.woody2
phpgroupware-napster - 0.9.14-0.RC3.2.woody2
phpgroupware-news-admin - 0.9.14-0.RC3.2.woody2
phpgroupware-nntp - 0.9.14-0.RC3.2.woody2
phpgroupware-notes - 0.9.14-0.RC3.2.woody2
phpgroupware-phonelog - 0.9.14-0.RC3.2.woody2
phpgroupware-phpsysinfo - 0.9.14-0.RC3.2.woody2
phpgroupware-phpwebhosting - 0.9.14-0.RC3.2.woody2
phpgroupware-polls - 0.9.14-0.RC3.2.woody2
phpgroupware-preferences - 0.9.14-0.RC3.2.woody2
phpgroupware-projects - 0.9.14-0.RC3.2.woody2
phpgroupware-registration - 0.9.14-0.RC3.2.woody2
phpgroupware-setup - 0.9.14-0.RC3.2.woody2
phpgroupware-skel - 0.9.14-0.RC3.2.woody2
phpgroupware-soap - 0.9.14-0.RC3.2.woody2
phpgroupware-stocks - 0.9.14-0.RC3.2.woody2
phpgroupware-todo - 0.9.14-0.RC3.2.woody2
phpgroupware-tts - 0.9.14-0.RC3.2.woody2
phpgroupware-wap - 0.9.14-0.RC3.2.woody2
phpgroupware-weather - 0.9.14-0.RC3.2.woody2
phpgroupware-xmlrpc - 0.9.14-0.RC3.2.woody2
phpgroupware - 0.9.14-0.RC3.2.woody2
Debian GNU/Linux 3.0:
noarch:
phpgroupware-addressbook - 0.9.14-0.RC3.2.woody2
phpgroupware-admin - 0.9.14-0.RC3.2.woody2
phpgroupware-api-doc - 0.9.14-0.RC3.2.woody2
phpgroupware-api - 0.9.14-0.RC3.2.woody2
phpgroupware-bookkeeping - 0.9.14-0.RC3.2.woody2
phpgroupware-bookmarks - 0.9.14-0.RC3.2.woody2
phpgroupware-brewer - 0.9.14-0.RC3.2.woody2
phpgroupware-calendar - 0.9.14-0.RC3.2.woody2
phpgroupware-chat - 0.9.14-0.RC3.2.woody2
phpgroupware-chora - 0.9.14-0.RC3.2.woody2
phpgroupware-comic - 0.9.14-0.RC3.2.woody2
phpgroupware-core-doc - 0.9.14-0.RC3.2.woody2
phpgroupware-core - 0.9.14-0.RC3.2.woody2
phpgroupware-developer-tools - 0.9.14-0.RC3.2.woody2
phpgroupware-dj - 0.9.14-0.RC3.2.woody2
phpgroupware-eldaptir - 0.9.14-0.RC3.2.woody2
phpgroupware-email - 0.9.14-0.RC3.2.woody2
phpgroupware-filemanager - 0.9.14-0.RC3.2.woody2
phpgroupware-forum - 0.9.14-0.RC3.2.woody2
phpgroupware-ftp - 0.9.14-0.RC3.2.woody2
phpgroupware-headlines - 0.9.14-0.RC3.2.woody2
phpgroupware-hr - 0.9.14-0.RC3.2.woody2
phpgroupware-img - 0.9.14-0.RC3.2.woody2
phpgroupware-infolog - 0.9.14-0.RC3.2.woody2
phpgroupware-inv - 0.9.14-0.RC3.2.woody2
phpgroupware-manual - 0.9.14-0.RC3.2.woody2
phpgroupware-messenger - 0.9.14-0.RC3.2.woody2
phpgroupware-napster - 0.9.14-0.RC3.2.woody2
phpgroupware-news-admin - 0.9.14-0.RC3.2.woody2
phpgroupware-nntp - 0.9.14-0.RC3.2.woody2
phpgroupware-notes - 0.9.14-0.RC3.2.woody2
phpgroupware-phonelog - 0.9.14-0.RC3.2.woody2
phpgroupware-phpsysinfo - 0.9.14-0.RC3.2.woody2
phpgroupware-phpwebhosting - 0.9.14-0.RC3.2.woody2
phpgroupware-polls - 0.9.14-0.RC3.2.woody2
phpgroupware-preferences - 0.9.14-0.RC3.2.woody2
phpgroupware-projects - 0.9.14-0.RC3.2.woody2
phpgroupware-registration - 0.9.14-0.RC3.2.woody2
phpgroupware-setup - 0.9.14-0.RC3.2.woody2
phpgroupware-skel - 0.9.14-0.RC3.2.woody2
phpgroupware-soap - 0.9.14-0.RC3.2.woody2
phpgroupware-stocks - 0.9.14-0.RC3.2.woody2
phpgroupware-todo - 0.9.14-0.RC3.2.woody2
phpgroupware-tts - 0.9.14-0.RC3.2.woody2
phpgroupware-wap - 0.9.14-0.RC3.2.woody2
phpgroupware-weather - 0.9.14-0.RC3.2.woody2
phpgroupware-xmlrpc - 0.9.14-0.RC3.2.woody2
phpgroupware - 0.9.14-0.RC3.2.woody2
Ссылки
http://www.debian.org/security/dsa-365/
Источник: CVE
Наименование: CVE-2003-0657
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0657
Источник: CVE
Наименование: CVE-2003-0599
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0599
Источник: CVE
Наименование: CVE-2003-0504
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0504
Источник: CVE
Наименование: CVE-2003-0657
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0657
Источник: CVE
Наименование: CVE-2003-0599
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0599
Источник: CVE
Наименование: CVE-2003-0504
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0504