[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:50543] [Translate] [SECURITY] [DSA 1580-1] New phpgedview packages fix privilege escalation
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1580-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
May 20, 2008 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : phpgedview
Vulnerability : プログラムミス
Problem type : リモート
Debian-specific: いいえ
CVE Id(s) : CVE-2008-2064
家系データへのオンラインでのアクセスを提供するアプリケーション
phpGedView が、プログラムミスによりリモートの攻撃者から管理者権限を奪え
ることが発見されました。
注記: この問題は、phpGedView と、コンテンツ管理システムなどの外部のプロ
グラムとを接続するインターフェース (API) の根本的な設計ミスです。この問
題を解決するには API を全面的に再作成するしかありませんが、これはセキュ
リティ更新としては不適切でしょう。この機能は周辺関数であり、恐らくパッケ
ージユーザの中でも利用している人は少数であろうという判断の下に、このイン
ターフェースを削除することとしました。もし、このインターフェースが必要な
場合には、phpGedView の Debian Lenny にバックポートされた版を利用してく
ださい。この版では完全に再設計された API が使われています。
安定版 (stable) ディストリビューション (etch) では、この問題はバージョン
4.0.2.dfsg-4 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ
ョン 4.1.e+4.1.5-1 で修正されています。
直ぐに phpgedview パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 4.0 alias etch
- -------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg.orig.tar.gz
Size/MD5 checksum: 6181964 73b1f051f01dcd6520a044badaa40fe6
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.diff.gz
Size/MD5 checksum: 8182 834f82b6f3a2512211e8e25dc99ebb44
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4.dsc
Size/MD5 checksum: 1053 8058483846a8b7e51301ed3fac097cdd
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview_4.0.2.dfsg-4_all.deb
Size/MD5 checksum: 1207756 6105005be43e22076a87b6590a899268
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-languages_4.0.2.dfsg-4_all.deb
Size/MD5 checksum: 1821820 0c8d7b39855b30c6880aa8115bc1452e
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-places_4.0.2.dfsg-4_all.deb
Size/MD5 checksum: 2271768 3a7155e548c4f5e2ddcc43747d804ed0
http://security.debian.org/pool/updates/main/p/phpgedview/phpgedview-themes_4.0.2.dfsg-4_all.deb
Size/MD5 checksum: 877102 4e62354aa4950afee7ca71178f1a717f
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------