htdig
1999-12-09
htdig
htdig におけるマシンの不正な遠隔利用
yes
yes
Debian GNU/Linux 2.1 にて配布されている htdig のバージョンには、
非 HTML 文書を扱うための外部プログラム呼び出しに問題があります。
これは文書を引き数として外部プログラムを呼び出しますが、
シェルエスケープをチェックしません。
シェルエスケープを含むファイル名を付けたファイルを作ることで、
htdig が動作しているマシン上で任意のコマンドが実行できるようになり、
遠隔地からマシンを不正に利用することが可能になります。
#use wml::debian::security
ソース:
- http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
- http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
- http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
i386:
- http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb