Debian セキュリティ勧告

DSA-642-1 gallery -- 複数の脆弱性

報告日時:
2005-01-17
影響を受けるパッケージ:
gallery
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 11602.
Mitre の CVE 辞書: CVE-2004-1106.
詳細:

PHP4 で書かれたウェブベースのフォトアルバムである gallery に複数の脆弱性が発見されました。 The Common Vulnerabilities and Exposures project では以下の脆弱性を認識しています:

  • CAN-2004-1106

    Jim Paris さんは、特別に作成した URL を使うとコードを挿入可能となる、 クロスサイトスクリプティング脆弱性を発見しました。

  • CVE-NOMATCH

    gallery 開発元のデベロッパーらは、変数の挿入が可能になっていた箇所を複数修正しました。 これは、例えばデータベースパスワードを漏洩させるような、gallery に意図しない動作をさせることが可能なものです。

安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 1.2.5-8woody3 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 1.4.4-pl4-1 で修正されています。

gallery パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。