Bulletin d'alerte Debian

DSA-642-1 gallery -- Plusieurs vulnérabilités

Date du rapport :
17 janvier 2005
Paquets concernés :
gallery
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 11602.
Dans le dictionnaire CVE du Mitre : CVE-2004-1106.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans gallery, un album photo basé sur le web et écrit en PHP4. Le projet « Common Vulnerabilities and Exposures » a identifié les failles suivantes :

  • CAN-2004-1106

    Jim Paris a découvert une vulnérabilité sur les éléments dynamiques (cross site scripting) qui permettait d'insérer du code en utilisant des liens formés d'une certaine manière.

  • CVE-NOMATCH

    Les développeurs amont de gallery ont corrigé plusieurs cas d'insertions possibles de variable, qui pouvait conduire gallery à avoir un comportement surprenant, comme ne pas prendre en compte le mot de passe de la base de données.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.5-8woody3.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.4.4-pl4-1.

Nous vous recommandons de mettre à jour votre paquet gallery.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.