[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53351] [Translate] [SECURITY] [DSA 1937-1] New gforge packages fix cross-site scripting

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:53351] [Translate] [SECURITY] [DSA 1937-1] New gforge packages fix cross-site scripting
Date: Sun, 22 Nov 2009 01:12:06 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.1.7-deb3
Message-id: <4B081153.1040601@xxxxxxxxxxxx>
X-mail-count: 53351
User-agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10.5; ja-JPM; rv:1.9.1.6pre) Gecko/20091110 Shredder/3.0pre

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1937-1                  security@debian.org
http://www.debian.org/security/                      Steffen Joeris
November 21, 2009                     http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : gforge
Vulnerability  : 入力のサニタイズ不足
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2009-3303


共同開発のためのツール gforge に helpname パラメータを介してクロスサイ
トスクリプティング攻撃が可能であるという欠陥が発見されました。この更新
では上記の問題の修正だけではなく、幾つかの入力のサニタイズを追加してい
ます。但し、これらに関しては現時点では攻撃方法は知られていません。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 4.7~rc2-7lenny2 で修正されています。

旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 4.5.14-22etch12 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 4.8.1-3 で修正されています。

直ぐに gforge パッケージをアップグレードすることを勧めます。



アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

Debian (old stable)
- ------------------

旧安定版の更新は、alpha, amd64, arm, armel, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
 .
ソースアーカイブ:

  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch12.diff.gz
    Size/MD5 checksum:   203139 67406308953934e8d68ca1cd97154023
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch12.dsc
    Size/MD5 checksum:      953 2176dd5939538d180d60637d77260f19
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
    Size/MD5 checksum:  2161141 e85f82eff84ee073f80a2a52dd32c8a5

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch12_all.deb
    Size/MD5 checksum:   705438 d40c97c6f0d0823b966b48b9b1b7eb6f
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    80534 c86b0696f707df2df400ef46838a2505

http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch12_all.deb
    Size/MD5 checksum:  1011566 644f57ac3a902d69369806763b29e484

http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch12_all.deb
    Size/MD5 checksum:   104034 43bb51625ea030e4bca2a1753720acd0

http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    86598 801eb1462e783877698f8181e93c7d37

http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    87402 9601350198b4a1c4946b26cbfc0089f0

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    88868 9c73567d60ede088fe7c952c0d575a22

http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    82348 ad231cb698733f3c3ce6cb65357aacee

http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    86318 448d7f114da5ef2188aa56f8dcd130f4

http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    95726 d6557e0016666a5e9c53f38fed49c322

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    88766 c78075b8eab9c9b3ead54716d10cf370

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    89386 2837d3a26850e5622294eb44aa49f3e2

http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch12_all.deb
    Size/MD5 checksum:   212746 1c48e12e5e61d5f56edd0de46884af52

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch12_all.deb
    Size/MD5 checksum:    76334 4e63c7735c92764d82dfdf4f742be2cb


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

Debian (stable)
- ---------------

安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
 .
ソースアーカイブ:

  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny2.dsc
    Size/MD5 checksum:     1487 0b1ce8a3757f45818006361e1eeb8140
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny2.diff.gz
    Size/MD5 checksum:   104727 3ce01d7387d05990a61a28e831a62f7b
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2.orig.tar.gz
    Size/MD5 checksum: 10225404 bd24808ce79363d4c7c529778f6f5324

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   100794 9e7c73b64c1929858089717fc32585b2
  http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    92854 e9c5d38f5fc5a51fe417b38b6c359702

http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmcvs_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   129406 053272d5f4440d75825890ddd6bf5169

http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:  1112528 77f4e8dc932777a36cf941a1bd5b10a8

http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-mediawiki_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   213574 14405a0cb843748ba77c691eaa60d4b6

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   101554 3aa3bb38dfc4a8bb3834f3397b03c688

http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    97364 7a73fb6cd3af0addda1076f68b4ceaa7

http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    95108 3dac1b4c78f967488693d3efb8b9f1b0

http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    88522 ffb28f911b5b5a638376cfaa598dc443

http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmsvn_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   122034 565dcc6c8acccfa4c6ae12121b774fa6

http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache2_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:  1397340 47fdfdfda7355f12fe807d9f01e79d5c

http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   231012 3a6ff0778f890ca32ec7c8fae97ef996

http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    94622 b533f09eedfd0b9f29dd07d4f9e64e06

http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:   106930 fcd1127a7c6c19ccf3c2a4a4931eb598

http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.7~rc2-7lenny2_all.deb
    Size/MD5 checksum:    88790 428a7b29217a916f004c085507128f88


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:53350] Re: 音量調節ができない
Next by Date: [debian-users:53352] aptitude updateに失敗します。
Previous by thread: [debian-users:53349] Re: LVS NATでロードバランス
Next by thread: [debian-users:53352] aptitude updateに失敗します。
Index(es):
- Date
- Thread