David Maciejak さんは、PHP ベースのマルチユーザカレンダー webcalendar が、ログイン試行の際に不正なパスワードと存在しないユーザに対して、 異なるエラーメッセージを返すことに気づきました。 この問題により、リモートの攻撃者が有効なユーザ名に関する情報を手に入れることができます。
前安定版ディストリビューション (oldstable、コードネーム woody) は、webcalendar パッケージを含んでいません。
安定版ディストリビューション (stable、コードネーム sarge) では、この問題はバージョン 0.9.45-4sarge4 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、この問題は近く修正される予定です。
webcalendar パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。