Bulletin d'alerte Debian

DSA-1148-1 gallery -- Plusieurs vulnérabilités

Date du rapport:

9 août 2006

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le système de suivi des bogues Debian : Bogue 325285.
Dans le dictionnaire CVE du Mitre : CVE-2005-2734, CVE-2006-0330, CVE-2006-4030.

Pour plus d'information:

Plusieurs vulnérabilités ont été découvertes dans gallery, un album photo basé sur la Toile. Le projet des expositions et vulnérabilités communes identifie les problèmes suivants :

CVE-2005-2734
Une vulnérabilité d'exécution de script sur site croisé permet l'injection du code d'un script web à travers le HTML ou les informations EXIF.
CVE-2006-0330
Une vulnérabilité d'exécution de script sur site croisé dans l'enregistrement des utilisateurs permet l'injection du code d'un script web.
CVE-2006-4030
Le manque de vérifications d'entrée dans les modules de statistiques permet la révélation d'informations.

Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.5-1sarge2.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.5-2.

Nous vous recommandons de mettre à jour votre paquet gallery.

Corrigé dans:

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.dsc; http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.diff.gz; http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.