Debian-Sicherheitsankündigung

DSA-642-1 gallery -- Mehrere Verwundbarkeiten

Datum des Berichts:
17. Jan 2005
Betroffene Pakete:
gallery
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 11602.
In Mitres CVE-Verzeichnis: CVE-2004-1106.
Weitere Informationen:

In gallery, einem in PHP4 geschriebenen, webbasierten Fotoalbum, wurden mehrere Verwundbarkeiten entdeckt. Das »Common Vulnerabilities and Exposures project« legt die folgenden Verwundbarkeiten fest:

  • CAN-2004-1106

    Jim Paris entdeckte eine Verwundbarkeit auf Grund von Site-übergreifendem Skripting, die es erlaubt, Code mittels speziell gestalteter URLs einzuspeisen.

  • CVE-KEINTREFFER

    Die ursprünglichen Entwickler von gallery haben mehrere Fälle von möglichen Variableneinspeisungen behoben, die gallery zu ungewollten Aktionen verleiten, z.B. Datenbankpasswörter anzuzeigen.

Für die Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.5-8woody3 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.4.4-pl4-1 behoben.

Wir empfehlen Ihnen, Ihr gallery-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.