[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:32183] [Translate] [SECURITY] [DSA 125-1] New analog packages fix cross-site scripting vulnerability

かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 125-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
March 28th, 2002
- --------------------------------------------------------------------------

Package        : analog
Vulnerability  : クロスサイトスクリプティング
Problem-Type   : リモート
Debian-specific: no

Yuji Takahashi さんが analog にクロスサイトスクリプティング攻撃を許す
バグを発見しました。攻撃者から web サーバのログファイルに任意の文字列
を入力することは比較的容易です。この文字列が analog で解析された場合、
それは解析レポートに現れます。これを使って、攻撃者が任意の Javascript
コードを、例えば、ある管理者が作成して第三者が読む analog の出力レポ
ートに埋め込むことが出来ます。analog は既に危険な文字をエンコードして
この種の攻撃を防ぐようにしていましたが、この際の変換が不完全でした。

この問題は上流では analog のバージョン 5.22 で修正されています。残念な
がら、安定版 (stable) に含まれる古いバージョンに修正をバックポートする
ことはあまりにも作業量が多く、断念しました。

直ぐに analog パッケージをアップグレードすることを薦めます。

wget url
wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 2.2 愛称 potato
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
      MD5 checksum: 051f6c13d7d1777aeef3c0d050b7ff94
    http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
      MD5 checksum: 294d6547c695f8b5f3b62950d7728dcf
    http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
      MD5 checksum: 7548e31ac6b21bec31966f98a789b426

  Alpha architecture:

    http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
      MD5 checksum: 64becc17b7bf444c989866424805fc7a

  ARM architecture:

    http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
      MD5 checksum: 3d446034c79efd08854d59906a5e925c

  Intel ia32 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
      MD5 checksum: 6ffd39c59948d83d2a7fd890be846360

  Motorola 680x0 architecture:

    http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
      MD5 checksum: 16fc1029300ec44a6b56be54112b2345

  PowerPC architecture:

    http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
      MD5 checksum: dde2890837d9392b5112337ea85f82ad

  Sun Sparc architecture:

    http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb
      MD5 checksum: 59ce433a886f8c3ec1d30fbd27bcd2ab


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------