[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:45417] [Translate] [SECURITY] [DSA 925-1] New phpbb2 packages fix several vulnerabilities
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 925-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
December 22nd, 2005 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : phpbb2
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2005-3310 CVE-2005-3415 CVE-2005-3416 CVE-2005-3417
CVE-2005-3418 CVE-2005-3419 CVE-2005-3420 CVE-2005-3536
CVE-2005-3537
BugTraq IDs : 15170 15243
Debian Bugs : 35662 336582 336587
複数の欠陥が、フル機能をもつスキンをサポートしたウェブフォーラム phpBB に発見
されました。
The Common Vulnerabilities and Exposures project では以下の問
題を認識しています。
CVE-2005-3310
複数の解釈実行に関する誤りにより、リモートの認証済みのユーザが任意のウェ
ブスクリプトを、リモートの avator が有効で、アップロードが有効である場合
に挿入可能です。
CVE-2005-3415
phpBB は、deregister グローバル変数の保護メカニズムが迂回可能なため、
攻撃者による phpBB の挙動の変更が可能です。
CVE-2005-3416
phpBB は、register_globals が有効で、session_start 関数がセッショ
ンを処理するために呼ばれていない、という条件下でセキュリティ機能の迂
回が可能です。
CVE-2005-3417
phpBB はグローバル変数の値を変更してセキュリティ機能を迂回すること
が可能です。
CVE-2005-3418
複数のクロスサイトスクリプティング脆弱性 (XSS) のため、リモートの攻撃者
が任意のウェブスクリプトを挿入可能です。
CVE-2005-3419
SQL インジェクション脆弱性のため、リモートの攻撃者が任意の SQL コマンド
を実行可能です。
CVE-2005-3420
phpBB は signature_bbcode_uid パラメーを利用して、 正規表現の変更
や、任意の PHP コードの実行が可能です。
CVE-2005-3536
topic タイプに関する入力のサニタイズ漏れのため、リモートの攻撃者が任意
の SQL コマンドの実行が可能です。
CVE-2005-3537
リクエスト検証抜けのため、リモートの攻撃者が他のユーザのプライベート
なメッセージの編集が可能です。
前安定版 (oldstable) ディストリビューション (woody) には、phpbb2 パッ
ケージは収録されていません。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 2.0.13+1-6sarge2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 2.0.18-1 で修正されています。
直ぐに phpbb2 パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge2.dsc
Size/MD5 checksum: 783 84a0dab5af965cf6ff418c2b2383a9ee
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge2.diff.gz
Size/MD5 checksum: 64580 e644237009e5eff92b86f21a5f6f4cbe
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
Size/MD5 checksum: 3340445 678d0cb0372e46402a472c510fb90d78
Architecture independent components:
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge2_all.deb
Size/MD5 checksum: 37474 4cbfd2fe1e336214a3defddeff55ce65
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge2_all.deb
Size/MD5 checksum: 2873096 f71e21b77d9f5bffa076a25d6687b4c2
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge2_all.deb
Size/MD5 checksum: 525514 f88101af29bf00db9a8fdb264e35d891
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------