Debian-Sicherheitsankündigung

DSA-808-1 tdiary -- Designfehler

Datum des Berichts:

12. Sep 2005

Betroffene Pakete:

tdiary

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2005-2411.

Weitere Informationen:

Yutaka Oiwa and Hiromitsu Takagi entdeckten eine Verwundbarkeit in tdiary, einem Weblog der nächsten Generation, die durch die Site-übergreifende Fälschung einer Anfrage ausgenutzt werden kann. Entfernte Angreifer können dadurch Informationen über Benutzer ändern.

Die alte Stable-Distribution (Woody) enthält das tdiary-Paket nicht.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.0.1-1sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.0.2-1 behoben.

Wir empfehlen Ihnen, Ihre tdiary-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb; http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.