Debian セキュリティ勧告

DSA-1374-1 jffnms -- 複数の脆弱性

報告日時:

2007-09-11

影響を受けるパッケージ:

jffnms

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.

詳細:

IP ネットワーク用の web ベースのネットワーク管理システム jffnms に複数の脆弱性が発見されました。 Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:

CVE-2007-3189
auth.php に、user パラメータを利用して、攻撃者がリモートから任意の web スクリプトや HTML を挿入可能なクロスサイトスクリプティング (XSS) 脆弱性が存在します。
CVE-2007-3190
auth.php に、user パラメータおよび pass パラメータを利用して、攻撃者がリモートから任意の SQL コマンドを実行可能な SQL インジェクション脆弱性が複数存在しています。
CVE-2007-3192
直接 URL を入力することで、攻撃者がリモートからログイン制限を迂回して設定情報にアクセス可能な問題があります。

安定版ディストリビューション (stable、コードネーム etch) では、これらの問題はバージョン 0.8.3dfsg.1-2.1etch1 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 0.8.3dfsg.1-4 で修正されています。

jffnms パッケージのアップグレードをお勧めします。

修正:

ソース:: http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz; http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc; http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。