Dvije ranjivosti programskog paketa mapserver

Kod programskog paketa mapserver uočene su dvije ranjivosti koje mogu dovesti do napada ubacivanjem SQL koda te pokretanja proizvoljnog programskog koda.

Paket:	mapserver 5.x
Operacijski sustavi:	Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:	4.3
Problem:	neodgovarajuća provjera ulaznih podataka, pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	proizvoljno izvršavanje programskog koda
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-2703, CVE-2011-2704
Izvorni ID preporuke:	DSA-2285-1
Izvor:	Debian

Problem:
Propusti se javljaju zbog pogrešaka u rukovanju ulaznim podacima te zbog nepostojeće provjere dužine ulaznih podataka kod OGC filtera.
Posljedica:
Uspješni napadač može iskoristiti propuste za izvođenje SQL napada, pojave prepisivanja na gomili te pokretanje proizvoljnog programskog koda.
Rješenje:
Budući je dostupna odgovarajuća nadogradnja svi se korisnici upućuju na njenu primjenu.

Izvorni tekst preporuke

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- --------------------------------------------------------------------------
Debian Security Advisory DSA-2285-1                    Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/                                 Nico Golde
July 26, 2011                           http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : mapserver
Vulnerability  : several
Problem type   : remote
Debian-specific: no
Debian bug     : none
CVE IDs        : CVE-2011-2703 CVE-2011-2704

Several vulnerabilities have been discovered in mapserver, a CGI-based
web framework to publish spatial data and interactive mapping applications.
The Common Vulnerabilities and Exposures project identifies the following
problems:

CVE-2011-2703

  Several instances of insufficient escaping of user input, leading to
  SQL injection attacks via OGC filter encoding (in WMS, WFS, and SOS
  filters).

CVE-2011-2704

  Missing length checks in the processing of OGC filter encoding that can
  lead to stack-based buffer overflows and the execution of arbitrary code.


For the oldstable distribution (lenny), this problem has been fixed in
version 5.0.3-3+lenny7.

For the stable distribution (squeeze), this problem has been fixed in
version 5.6.5-2+squeeze2.

For the testing (squeeze) and unstable (sid) distributions, this problem
will be fixed soon.


We recommend that you upgrade your mapserver packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk4t7yMACgkQHYflSXNkfP/+WwCgmFVaHuBOwQrG1NFFRjO/g3v4
LXoAn1mFiKV+mW2gErgySyQqCE7pBPDS
=D0zn
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
with a subject of "unsubscribe". Trouble? Contact Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
Archive: http://lists.debian.org/Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Dvije ranjivosti programskog paketa mapserver

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Dvije ranjivosti programskog paketa mapserver

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti