Debians sikkerhedsbulletin

DSA-1374-1 jffnms -- flere sårbarheder

Rapporteret den:

11. sep 2007

Berørte pakker:

jffnms

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.

Yderligere oplysninger:

Flere sårbarheder er opdaget i jffnms, et webbaseret Network Management System til IP-netværk. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CVE-2007-3189
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting, XSS) i auth.php, gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML gennem user-parameteret.
CVE-2007-3190
Flere SQL-indsprøjtningssårbarheder i auth.php, gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer gennem user- og pass-parametrene.
CVE-2007-3192
Direkte forespørgsler på URL'er gjorde det muligt for fjernangribere at tilgå opsætningsoplysninger og dermed omgå logonbegrænsninger.

I den stabile distribution (etch), er disse problemer rettet i version 0.8.3dfsg.1-2.1etch1.

I den ustabile distribution (sid), er disse problemer rettet i version 0.8.3dfsg.1-4.

Vi anbefaler at du opgraderer din jffnms-pakke.

Rettet i:

Debian GNU/Linux 4.0 alias etch

Kildekode:: http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz; http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc; http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.