Debian セキュリティ勧告

DSA-1094-1 gforge -- 入力に対するサニタイジングの欠落

報告日時:

2006-06-08

影響を受けるパッケージ:

gforge

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 328224.
Mitre の CVE 辞書: CVE-2005-2430.

詳細:

Joxean Koret さんは、ネットワーク上でのソフトウェア開発向けグループウェア Gforge に複数のクロスサイトスクリプティング脆弱性を発見しました。この欠陥を攻撃することで、任意のスクリプトコードの注入が可能です。

前安定版ディストリビューション (oldstable、コードネーム woody) は、gforge パッケージを含んでいません。

安定版ディストリビューション (stable、コードネーム sarge) では、この問題はバージョン 3.1-31sarge1 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、この問題はバージョン 3.1-31sarge1 で修正されています。

gforge パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 3.1 (sarge)

ソース:: http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge1.dsc; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge1.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/g/gforge/gforge-common_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-cvs_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-sourceforge-transition_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/sourceforge_3.1-31sarge1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

Joxean Koret discovered several cross-site scripting vulnerabilities in Gforge, an online collaboration suite for software development, which allow injection of web script code.