Vulnérabilité dans WebCalendar

Gestion du document

Référence	CERTA-2006-AVI-259
Titre	Vulnérabilité dans WebCalendar
Date de la première version	28 juin 2006
Date de la dernière version	28 juin 2006
Source(s)	Révision 1.539.2.60 dans le CVS de WebCalendar
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

Systèmes affectés

WebCalendar versions 1.0.3 et antérieures.

Description

Une vulnérabilité dans le traitement du paramètre includedir permet d'importer sur le serveur un fichier de configuration depuis un site externe. L'exploitation de cette vulnérabilité nécessite le positionnement de la variable register_globals à On dans le fichier php.ini.

Contournement provisoire

Positionner la variable register_globals à Off dans le fichier php.ini.

Solution

Installer la version 1.0.4.

Documentation

Version 1.0.4 de WebCalendar :

http://www.k5n.us/webcalendar.php?topic=Download

Révision 1.539.2.60 de WebCalendar :

http://webcalendar.cvs.sourceforge.net/webcalendar/webcalendar/ChangeLog?revision=1.539.2.60&view=markup

Bulletin de sécurité Debian DSA 1096 du 13 juin 2006 :
```
http://www.debian.org/security/2006/dsa-1096
```

Référence CVE CVE-2006-2762 :

https://www.cve.org/CVERecord?id=CVE-2006-2762

Avis du CERT-FR

Objet: Vulnérabilité dans WebCalendar