GLSA 200903-36: MLDonkey: Information disclosure
| Опасность: | средняя |
| Заголовок: | MLDonkey: Information disclosure |
| Дата: | 23.03.2009 |
| Ошибки: | |
| ID: | 200903-36 |
Сводка
A vulnerability in the MLDonkey web interface allows remote attackers to disclose arbitrary files.Назначение
MLDonkey is a multi-network P2P application written in Ocaml, coming with its own Gtk GUI, web and telnet interface.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-p2p/mldonkey | < 3.0.0 | >= 3.0.0 | All supported architectures |
Описание
Michael Peselnik reported that src/utils/lib/url.ml in the web interface of MLDonkey does not handle file names with leading double slashes properly.
Воздействие
A remote attacker could gain access to arbitrary files readable by the user running the application.
Обход
Disable the web interface or restrict access to it.
Решение
All MLDonkey users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=net-p2p/mldonkey-3.0.0"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.