Säkerhetsbulletin från Debian

DSA-1528-1 serendipity -- otillräcklig städning av indata

Rapporterat den:

2008-03-24

Berörda paket:

serendipity

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 469667.
I Mitres CVE-förteckning: CVE-2007-6205, CVE-2008-0124, CVE-2008-1476.

Ytterligare information:

Peter Hüwe and Hanno Böck upptäckte att Serendipity, en webblogghanterare, inte korrekt städade indata till flera skript, vilket möjliggjorde serveröverskridande skript.

Den gamla stabila utgåvan (Sarge) innehåller inte paketet serendipity.

För den stabila utgåvan (Etch) har detta problem rättats i version 1.0.4-1+etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.3-1.

Vi rekommenderar att ni uppgraderar ert serendipity-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/s/serendipity/serendipity_1.0.4.orig.tar.gz; http://security.debian.org/pool/updates/main/s/serendipity/serendipity_1.0.4-1+etch1.diff.gz; http://security.debian.org/pool/updates/main/s/serendipity/serendipity_1.0.4-1+etch1.dsc
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/s/serendipity/serendipity_1.0.4-1+etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.