セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2179-1 dtc

Debian セキュリティ勧告

DSA-2179-1 dtc -- SQL インジェクション

報告日時:

2011-03-02

影響を受けるパッケージ:

dtc

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 614302.
Mitre の CVE 辞書: CVE-2011-0434, CVE-2011-0435, CVE-2011-0436, CVE-2011-0437.

詳細:

Ansgar Burchardt さんにより、ホスティングサービスの管理およびアカウンティ ングのための制御パネル DTC に複数の欠陥が発見されました。

• CVE-2011-0434

  bw_per_moth.php グラフに SQL インジェクション脆弱性があります。

• CVE-2011-0435

  bw_per_month.php のチェックが不十分なため、利用バンド幅情報が漏洩しま す。

• CVE-2011-0436

  登録後にパスワードが平文の電子メールで送られます。

• CVE-2011-0437

  認証済みユーザが、誤ってパッケージに含まれている廃止済みのインターフ ェース経由でアカウントを抹消できます。

この更新には、電子メールに平文のパスワードを含めるかどうかの新しい設定オ プションが加わっています。既定値は「含めない」です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバー ジョン 0.29.17-1+lenny1 で修正されています。

安定版 (stable) ディストリビューションおよび不安定版 (unstable) ディスト リビューションには dtc パッケージは収録されていません。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ ョン 0.32.10-1 で修正されています。

直ぐに dtc パッケージをアップグレードすることを勧めます。