GLSA 200411-02: Cherokee: Format string vulnerability

Опасность:высокая
Заголовок:Cherokee: Format string vulnerability
Дата:01.11.2004
Ошибки: #67667
ID:200411-02

Сводка

Cherokee contains a format string vulnerability that could lead to denial of service or the execution of arbitary code.

Назначение

Cherokee is an extra-light web server.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
www-servers/cherokee <= 0.4.17 >= 0.4.17.1 All supported architectures

Описание

Florian Schilhabel from the Gentoo Linux Security Audit Team found a format string vulnerability in the cherokee_logger_ncsa_write_string() function.

Воздействие

Using a specially crafted URL when authenticating via auth_pam, a malicious user may be able to crash the server or execute arbitrary code on the target machine with permissions of the user running Cherokee.

Обход

There is no known workaround at this time.

Решение

All Cherokee users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-servers/cherokee-0.4.17.1"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200411-02.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!