[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52285] [Translate] [SECURITY] [DSA 1765-1] New horde3 packages fix several vulnerabilities

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:52285] [Translate] [SECURITY] [DSA 1765-1] New horde3 packages fix several vulnerabilities
Date: Wed, 8 Apr 2009 22:44:16 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.1.7-deb3
Message-id: <49DCA9E9.2070007@xxxxxxxxxxxx>
X-mail-count: 52285
User-agent: Thunderbird 2.0.0.21 (Macintosh/20090302)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1765-1                  security@debian.org
http://www.debian.org/security/                      Steffen Joeris
April 08, 2009                        http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : horde3
Vulnerability  : 複数の欠陥
Problem type   : リモート
Debian-specific: いいえ
CVE Ids        : CVE-2009-0932 CVE-2008-3330 CVE-2008-5917
Debian Bugs    : 513265 512592 492578

Horde ウェブアプリケーションフレームワークに複数の欠陥が発見されました。
The Common Vulnerabilities and Exposures project は以下の問題を認識して
います。

CVE-2009-0932

Gunnar Wrobel さんにより、ディレクトリトラバーサルを許す欠陥が発見され
ました。攻撃者はこの欠陥を Horde_Image のドライバパラメータにより悪用
して、任意のローカルファイルをインクルードや実行することが可能です。

CVE-2008-3330

攻撃者がコンタクト名を用いてクロスサイトスクリプティング攻撃が可能であ
ることがはっけんされました。この欠陥により攻撃者からの任意の html コー
ドの挿入が可能ですが、攻撃者が create contact へのアクセス権限を持って
いる必要があります。

CVE-2008-5917

Horde XSS フィルタがクロスサイトスクリプティング攻撃を防げず、任意の
html コードを挿入可能であることが発見されました。これは Internet
Explorer が使われている場合のみ攻撃可能です。

旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 3.1.3-4etch5 で修正されています。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 3.2.2+debian0-2 で修正されています。これはすでに Lenny リリース
に収録済みです。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューション
では、これらの問題はバージョン 3.2.2+debian0-2 で修正されています。

直ぐに horde3 パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

Debian (old stable)
- ------------------

旧安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
 .
ソースアーカイブ:

  http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
    Size/MD5 checksum:  5232958 fbc56c608ac81474b846b1b4b7bb5ee7
  http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.diff.gz
    Size/MD5 checksum:    13749 d7ad332e2f535b9df1ab49bd9c7233fa
  http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.dsc
    Size/MD5 checksum:     1076 c6082f3a21860b6b65b7edc4c58b0c07

アーキテクチャに依存しないパッケージ:

  http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5_all.deb
    Size/MD5 checksum:  5274074 e4cfd0484345a153c33481101472a1fe


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:52284] [Translate] [SECURITY] [DSA 1763-1] New openssl packages fix denial of service
Next by Date: [debian-users:52286] [Translate] [SECURITY] [DSA 1764-1] New tunapie packages fix several vulnerabilities
Previous by thread: [debian-users:52284] [Translate] [SECURITY] [DSA 1763-1] New openssl packages fix denial of service
Next by thread: [debian-users:52286] [Translate] [SECURITY] [DSA 1764-1] New tunapie packages fix several vulnerabilities
Index(es):
- Date
- Thread