Debian セキュリティ勧告

DSA-1098-1 horde3 -- 入力に対するサニタイジングの欠落

報告日時:

2006-06-14

影響を受けるパッケージ:

horde3

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2006-2195.

詳細:

Michael Marek さんにより、Horde ウェブアプリケーションフレームワークは入力のサニタイズ処理が不十分であり、クロスサイトスクリプティングによりウェブスクリプトの注入が可能であることが発見されました。

前安定版ディストリビューション (oldstable、コードネーム woody) は、horde3 パッケージを含んでいません。

安定版ディストリビューション (stable、コードネーム sarge) では、この問題はバージョン 3.0.4-4sarge4 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、この問題はバージョン 3.1.1-3 で修正されています。

horde3 パッケージのアップグレードをお勧めします。

修正:

ソース:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge4.dsc; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge4.diff.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge4_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。