Debian-Sicherheitsankündigung

DSA-768-1 phpbb2 -- Fehlende Überprüfung der Eingabe

Datum des Berichts:

27. Jul 2005

Betroffene Pakete:

phpbb2

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 317739.
In Mitres CVE-Verzeichnis: CVE-2005-2161.

Weitere Informationen:

Eine Verwundbarkeit durch Site-übergreifendes Skripting wurde in phpBB2 gefunden, einer voll ausgestatteten und mit verschiedenen Oberflächen gestaltbaren Webforum-Software. Diese ermöglicht entfernten Angreifern, beliebige Webskripte oder HTML über verschachtelte Tags einzuschleusen.

Die alte Stable-Distribution (Woody) enthält phpbb2 nicht.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.0.13-6sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.0.13-6sarge1 behoben.

Wir empfehlen Ihnen, Ihre phpbb2-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge1.dsc; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge1.diff.gz; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge1_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge1_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.