—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0432 – SQL Injection Schwachstellen in PyWebDAV vor Version
0.9.4.1

Mehrere Schwachstellen in der WebDAV Implementierung PyWebDAV vor
Version 0.9.4.1 ermoeglichen entfernten Angreifern das Ausfuehren von
SQL-Befehlen mittels manipulierter Zugangsdaten. Zur Verwaltung der
Kommunikation mit einer MySQL-Datenbank steht die Klasse Mconn in
dbconn.py zur Verfuegung. Diese fuehrt in mehreren Methoden nur eine
unzureichende Pruefung von SQL-Parametern durch, so dass Angreifer durch
Manipulation der Parameter SQL-Befehle einschleusen koennen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket pywebdav in der stable Distribution (squeeze) vor Version
0.9.4-1+squeeze1
Paket pywebdav in der unstable Distribution (sid) vor Version 0.9.4-3

Stable Distribution (squeeze)
Unstable Distribution (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2177-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
March 02, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : pywebdav
Vulnerability : SQL injection
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-0432

It was discovered that python-webdav, a WebDAV server implementation,
contains several SQL injection vulnerabilities in the processing of
user credentials.

The oldstable distribution (lenny) does not contain a python-webdav
package.

For the stable distribution (squeeze), this problem has been fixed in
version 0.9.4-1+squeeze1.

For the testing distribution (wheezy) and the unstable distribution
(sid), this problem has been fixed in version 0.9.4-3.

We recommend that you upgrade your python-webdav packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)

iQEcBAEBAgAGBQJNbp0iAAoJEL97/wQC1SS+c1EH/RJML9XhBCHp19SNYjc2/BJK
DFR8+LBBTPw30exeagvCCKzzxOXstfRP3ymb8d7dPEtx9y353e5UBSfFebOSg0jC
LXQU2Sd1JSvbBO2WXZKG+Y66XQXpR1x3PuZj9dvkDQiIe4nhOWKhEz+RryElsm4Q
5Qj/IFPSzOzAHY2S1Ro0TmC/Uc5VI/5OS49g0oTvMhDaAvwbDKmriQQBdxPvj8X1
fQEIHMI+scQjzfd2Fi7ESCIx9daOp6ubVfDBWdQTSCxT43mZebq1IQY3ESFh0ftY
OiDi/eJz/8kfLhM9z9UHruyjGG2RedT24XaPMqmMVP6OlMG2Uw5eiPJ1WvX10cY=
=tmEU
– —–END PGP SIGNATURE—–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNb5dAAAoJEJtyb8U7iGZB7SsH/3R4XKUEvm9/cGmlcB8iY+RF
LGoB0d7rDGl47vkLG1ex8aXevbvcn7LiXVo9lrkWJGCyJGq1bZif8yN2Pw/Toi7a
oyWb2crjOk4zsOnLXNdWV41Lub7SjifWSlzMSPviIBau9RX2l1A0weI5NBTcKJ7/
O4ALiBM+2Ha2Wid4rbPZZlHrzaWh9iQEDl9bYrheUw5zmyEP3rru3pm4iHwsiQ8t
uJMwwsF7M18IF6G0PmxwQpM3juoa/KPoCWj487A5eDYgnKxmdhjDlTzVWsT15dCi
KyUsvLDBiCh+yLQHKVIFjP3BxdUWD07EavZxl5htQvfGO6/iryj02hFuro7oG9U=
=OPCZ
—–END PGP SIGNATURE—–