[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:50161] [Translate] [SECURITY] [DSA 1488-1] New phpbb2 packages fix several vulnerabilities

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:50161] [Translate] [SECURITY] [DSA 1488-1] New phpbb2 packages fix several vulnerabilities
Date: Sat, 9 Feb 2008 13:58:54 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.2 required=10.0 tests=AWL,KI autolearn=disabled version=3.1.7-deb
Message-id: <47AD3306.7090801@xxxxxxxxxxxx>
X-mail-count: 50161
User-agent: Thunderbird 2.0.0.9 (Macintosh/20071031)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1488-1                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
February 09, 2008                     http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : phpbb2
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE Id(s)      : CVE-2006-4758 CVE-2006-6839 CVE-2006-6840 CVE-2006-6508
CVE-2006-6841 CVE-2008-0471
Debian Bug     : 388120 405980 463589

ウェブベースの掲示版ソフトウェア phpBB に、リモートから攻撃可能な複数の
問題が発見されました。The Common Vulnerabilities and Exposures project
は以下の問題を認識しています。

CVE-2008-0471

	プライベートメッセージングがクロスサイトリクエストフォージェリを
	許すため、ユーザに細工したウェブページを開かせることで、プライベ
	ートメッセージを全て消去することが可能です。

CVE-2006-6841 / CVE-2006-6508

	クロスサイトリクエストフォージェリのため、攻撃者がログインしたユ
	ーザ権限で様々な操作を実行可能です (Sarge のみの欠陥)。

CVE-2006-6840

	負のスタートパラメータにより、不正な出力結果を作成することが可能
	です (Sarge のみの欠陥)。

CVE-2006-6839

	リダイレクションターゲットが十分にチェックされていないため、
	phpBB フォーラムからの認証を経ない外部リダイレクトが可能です
	(Sarge のみの欠陥)。

CVE-2006-4758

	認証されたフォーラム管理者が、特殊な形式のファイル名を用いて任意
	のタイプのファイルのアップロードが可能です (Sarge のみの欠陥)。


安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 2.0.21-7 で修正されています。

旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は
バージョン 2.0.13+1-6sarge4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 2.0.22-3 で修正されています。

直ぐに phpbb2 パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

ソースアーカイブ:

  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz
    Size/MD5 checksum:    67912 c403597d08f4c5af0f62b84c5ee72a7e
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
    Size/MD5 checksum:  3340445 678d0cb0372e46402a472c510fb90d78
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc
    Size/MD5 checksum:     1011 d5ca94a7a4c2b3468428a993a1dbc5cc

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb
    Size/MD5 checksum:    37766 f0df2114bd60d9b84fbda1d241294fdd
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb
    Size/MD5 checksum:   526154 944e55e056fc34d970e95b78201589fe

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb
    Size/MD5 checksum:  2868920 f10c4962035ede6e02417b8098efeda0

Debian GNU/Linux 4.0 alias etch
- -------------------------------

ソースアーカイブ:

  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc
    Size/MD5 checksum:     1051 88ad3a4f2ee714cce779873b53ebd323
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz
    Size/MD5 checksum:  3203456 30383a9bf6c5d21736e4bdf9ec7852d5
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz
    Size/MD5 checksum:    90580 896f80500e90867741c516e57fc8bfcc

アーキテクチャに依存しないパッケージ:

  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb
    Size/MD5 checksum:  2791410 afd8a0fe8138c8a5cf00a3e4ac10ac59
  http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb
    Size/MD5 checksum:   554842 e8825ef3431bfe7ccf72f9f59f13a119

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb
    Size/MD5 checksum:    53706 49baf96bcc1c273a93e8bb5169dca722


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:50160] [Translate] [SECURITY] [DSA 1487-1] New libexif packages fix several vulnerabilities
Next by Date: [debian-users:50162] Re: 推奨のパッケージの一括インストール・削除法
Previous by thread: [debian-users:50160] [Translate] [SECURITY] [DSA 1487-1] New libexif packages fix several vulnerabilities
Next by thread: [debian-users:50166] [Q] debootstrap --foreign --arch i386 on Debian/powerpc
Index(es):
- Date
- Thread