[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:53516] [Translate] [SECURITY] [DSA 1966-1] New horde3 packages fix cross-site scripting
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1966-1 security@debian.org
http://www.debian.org/security/ Steffen Joeris
January 07, 2010 http://www.debian.org/security/faq
- ------------------------------------------------------------------------
Package : horde3
Vulnerability : 入力のサニタイズ不足
Problem type : リモート
Debian-specific: いいえ
CVE Ids : CVE-2009-3237 CVE-2009-3701 CVE-2009-4363
horde ウェブアプリケーションフレームワーク horde3 に複数の欠陥が発見され
ました。The Common Vulnerabilities and Exposures project は以下の問題を
認識しています。
CVE-2009-3237
horde3 は、細工した数値プレファレンス、または MIME タイプに text/plain
を使った場合の細工したインライン MIME テキストパーツ、を用いたクロスサイ
トスクリプティング攻撃にたいして脆弱です。
lenny ではこの問題は既に修正されていましたが、セキュリティ面での念のため
の対処として、さらに設定ファイルでインラインテキストの表示が無効化されて
います。
CVE-2009-3701
horde3 管理インターフェースには、PHP_SELF 変数の使用に起因する欠陥があり、
クロスサイトスクリプティング攻撃に対して脆弱です。この問題は認証された管
理者からのみ攻撃可能です。
CVE-2009-4363
horde3 に複数の HTML メッセージ中の細工された data:text/html 値を用いた
クロスサイトスクリプティング攻撃に対する脆弱性があります。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 3.2.2+debian0-2+lenny2 で修正されています。
旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は
バージョン 3.1.3-4etch7 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 3.3.6+debian0-1 で修正されています。
直ぐに horde3 パッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 4.0 alias etch
- -------------------------------
Debian (old stable)
- ------------------
旧安定版の更新は、alpha, amd64, arm, armel, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc
Size/MD5 checksum: 691 48b9e415b5f6ab912615d4da1fdbf972
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
Size/MD5 checksum: 17280 15471b64c8321f477800da4cfe3ff8e4
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Size/MD5 checksum: 5232958 fbc56c608ac81474b846b1b4b7bb5ee7
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb
Size/MD5 checksum: 5282070 b0788ebca983b9059a7fa05ada2de4cb
Debian GNU/Linux 5.0 alias lenny
- --------------------------------
Debian (stable)
- ---------------
安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc
Size/MD5 checksum: 1389 c7d03777a3a09845206364f689752f30
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
Size/MD5 checksum: 27993 866df86724501fbd550d5e164e4cdd3c
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz
Size/MD5 checksum: 7180761 fb22a594bbdad07a0fbeef035a6d2f39
アーキテクチャに依存しないパッケージ:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb
Size/MD5 checksum: 7240984 9298abd370d67b6a4861f015e330d1c5
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------