GLSA 200411-33: TWiki: Arbitrary command execution
| Опасность: | высокая |
| Заголовок: | TWiki: Arbitrary command execution |
| Дата: | 24.11.2004 |
| Ошибки: | |
| ID: | 200411-33 |
Сводка
A bug in the TWiki search function allows an attacker to execute arbitrary commands with the permissions of the user running TWiki.Назначение
TWiki is a Web-based groupware tool based around the concept of wiki pages that can be edited by anybody with a Web browser.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-apps/twiki | < 20040902 | >= 20040902 | All supported architectures |
Описание
The TWiki search function, which uses a shell command executed via the Perl backtick operator, does not properly escape shell metacharacters in the user-provided search string.
Воздействие
An attacker can insert malicious commands into a search request, allowing the execution of arbitrary commands with the privileges of the user running TWiki (usually the Web server user).
Обход
There is no known workaround at this time.
Решение
All TWiki users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-apps/twiki-20040902"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.