GLSA 200507-08: phpGroupWare, eGroupWare: PHP script injection vulnerability

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	phpGroupWare, eGroupWare: PHP script injection vulnerability
Дата:	10.07.2005
Ошибки:	#97460, #97651
ID:	200507-08

Сводка

phpGroupWare and eGroupWare include an XML-RPC implementation which allows remote attackers to execute arbitrary PHP script commands.

Назначение

phpGroupWare and eGroupWare are web based collaboration software suites.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
www-apps/phpgroupware	< 0.9.16.006	>= 0.9.16.006	All supported architectures
www-apps/egroupware	< 1.0.0.008	>= 1.0.0.008	All supported architectures

Описание

The XML-RPC implementations of phpGroupWare and eGroupWare fail to sanitize input sent to the XML-RPC server using the "POST" method.

Воздействие

A remote attacker could exploit the XML-RPC vulnerability to execute arbitrary PHP script code by sending specially crafted XML data to the XML-RPC servers of phpGroupWare or eGroupWare.

Обход

There are no known workarounds at this time.

Решение

All phpGroupWare users should upgrade to the latest available version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-app/phpgroupware-0.9.16.006"

All eGroupWare users should upgrade to the latest available version:


    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-app/egroupware-1.0.0.008"

Ссылки

CAN-2005-1921

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200507-08.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.