[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:45633] [Translate] [SECURITY] [DSA 944-1] New mantis packages fix several vulnerabilities



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 944-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
January 17th, 2006                      http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : mantis
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE IDs        : CVE-2005-4238 CVE-2005-4518 CVE-2005-4519 CVE-2005-4520 CVE-2005-4521 CVE-2005-4522 CVE-2005-4523 CVE-2005-4524
BugTraq IDs    : 15842 16046
Debian Bug     : 345288

複数のセキュリティ関連の欠陥がウェブベースバグトラッキングシステム
mantis に発見されました。The Common Vulnerabilities and Exposures
project では以下の問題を認識しています。

CVE-2005-4238

    入力のサニタイズ漏れのために、任意のウェブスクリプトや HTML 文を
    挿入することが可能です。

CVE-2005-4518

    Tobias Klein さんにより、mantis がリモートの攻撃者からアップロー
    ドファイルサイズの制限を迂回することが可能であることが発見されま
    した。

CVE-2005-4519

    Tobias Klein さんにより、SQL インジェクションが可能で、任意の SQL
    コマンドの実行がリモートの攻撃者から可能であることが発見されまし
    た。

CVE-2005-4520

    Tobias Klein さんにより、フィルタに未確認の "port injection" 可
    能な欠陥が発見されました。

CVE-2005-4521

    Tobias Klein さんにより、CRLF インジェクション攻撃が可能であるた
    め、結果としてリモートの攻撃者から HTTP ヘッダの変更が可能となり、
    HTTP レスポンス分割攻撃ができることが発見されました。

CVE-2005-4522

    Tobias Klein さんにより複数箇所のクロスサイトスクリプティング欠陥
    (XSS) が発見されました。この欠陥を攻撃することで、リモートの攻撃
    者が任意のウェブスクリプトや HTML 文を挿入することが可能です。

CVE-2005-4523

    Tobias Klein さんにより、 mantis がパブリック RSS フィード経由で
    プライベートデータを漏洩する欠陥が発見されました。これによりリモ
    ートの攻撃者が機密情報を入手可能です。

CVE-2005-4524

    Tobias Klein さんにより、mantis でのバグ修正により "Make note
    private" 機能が正しく動作しなくなっていることが発見されました。こ
    の欠陥の影響範囲と攻撃方法は不明ですが、恐らく情報漏洩につながる
    と考えられます。

前安定版 (oldstable) ディストリビューション (woody) には、この問題はない
模様です。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョ
ン 0.19.2-5sarge1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 0.19.4-1 で修正されています。

直ぐに mantis パッケージをアップグレードすることを勧めます。


アップグレード手順
- --------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

    ソースアーカイブ:

    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.dsc
      Size/MD5 checksum:      580 84bfa6cce4f41aebd7f7bdd810048504
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1.diff.gz
      Size/MD5 checksum:    39448 0c827e6e04027c31080de40d53930689
    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2.orig.tar.gz
      Size/MD5 checksum:  1298615 042c42c6de3bc536181391c1e9b25db3

  Architecture independent components:

    http://security.debian.org/pool/updates/main/m/mantis/mantis_0.19.2-5sarge1_all.deb
      Size/MD5 checksum:   897448 a5d28b04680faf1abbda95cc18b28bac


    これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------