Рекомендация Debian по безопасности

DSA-1475-1 gforge -- отсутствие очистки ввода

Дата сообщения:
26.01.2008
Затронутые пакеты:
gforge
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2007-0176.
Более подробная информация:

Хосе Рамон Паланчо обнаружил, что межсайтовый скриптинг в GForge, инструменте для совместной работы, позволяет удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML в контексте сессии аутентифицированного пользователя.

Предыдущий стабильный выпуск (sarge) не подвержен данной проблеме.

В стабильном выпуске (etch) эта проблема была исправлена в версии 4.5.14-22etch5.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.6.99+svn6347-1.

Рекомендуется обновить пакет gforge.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch5.dsc
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch5.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch5_all.deb
http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.