Bulletin d'alerte Debian

DSA-808-1 tdiary -- Erreur de conception

Date du rapport:

12 septembre 2005

Paquets concernés:

tdiary

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2005-2411.

Pour plus d'information:

Yutaka Oiwa et Hiromitsu Takagi ont découvert une vulnérabilité par usurpation des requêtes faites au site (« Cross-Site Request Forgery » ou « CSRF ») dans tdiary, un weblog de nouvelle génération, qui pouvait être exploitée par des attaquants distants pour modifier les données des utilisateurs.

L'ancienne distribution stable (Woody) ne contient pas tdiary.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 2.0.1-1sarge1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.2-1.

Nous vous recommandons de mettre à jour vos paquets tdiary.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.