GLSA 200503-04: phpWebSite: Arbitrary PHP execution and path disclosure
| Опасность: | высокая |
| Заголовок: | phpWebSite: Arbitrary PHP execution and path disclosure |
| Дата: | 01.03.2005 |
| Ошибки: | |
| ID: | 200503-04 |
Сводка
Remote attackers can upload and execute arbitrary PHP scripts, another flaw reveals the full path of scripts.Назначение
phpWebSite provides a complete web site content management system.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-apps/phpwebsite | < 0.10.0-r2 | >= 0.10.0-r2 | All supported architectures |
Описание
NST discovered that, when submitting an announcement, uploaded files aren't correctly checked for malicious code. They also found out that phpWebSite is vulnerable to a path disclosure.
Воздействие
A remote attacker can exploit this issue to upload files to a directory within the web root. By calling the uploaded script the attacker could then execute arbitrary PHP code with the rights of the web server. By passing specially crafted requests to the search module, remote attackers can also find out the full path of PHP scripts.
Обход
There is no known workaround at this time.
Решение
All phpWebSite users should upgrade to the latest available version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-apps/phpwebsite-0.10.0-r2"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.