Säkerhetsbulletin från Debian

DSA-1066-1 phpbb2 -- städar inte indata

Rapporterat den:

2006-05-20

Berörda paket:

phpbb2

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 365533.
I Mitres CVE-förteckning: CVE-2006-1896.

Ytterligare information:

Det har upptäckts att phpbb2, ett webbaserat forumsystem, inte korrekt städar indatavärden som sänds in i inställningen ”Font Colour 3”, vilket kan leda till exekvering av injicerad kod från administratörsanvändare.

Den gamla stabila utgåvan (Woody) innehåller inte paketet phpbb2.

För den stabila utgåvan (Sarge) har detta problem rättats i version 2.0.13+1-6sarge3.

För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar ert phpbb2-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge3.dsc; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge3.diff.gz; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge3_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge3_all.deb; http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.