Debian セキュリティ勧告

DSA-2179-1 dtc -- SQL インジェクション

報告日時:
2011-03-02
影響を受けるパッケージ:
dtc
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 614302.
Mitre の CVE 辞書: CVE-2011-0434, CVE-2011-0435, CVE-2011-0436, CVE-2011-0437.
詳細:

Ansgar Burchardt さんにより、ホスティングサービスの管理およびアカウンティ ングのための制御パネル DTC に複数の欠陥が発見されました。

  • CVE-2011-0434

    bw_per_moth.php グラフに SQL インジェクション脆弱性があります。

  • CVE-2011-0435

    bw_per_month.php のチェックが不十分なため、利用バンド幅情報が漏洩しま す。

  • CVE-2011-0436

    登録後にパスワードが平文の電子メールで送られます。

  • CVE-2011-0437

    認証済みユーザが、誤ってパッケージに含まれている廃止済みのインターフ ェース経由でアカウントを抹消できます。

この更新には、電子メールに平文のパスワードを含めるかどうかの新しい設定オ プションが加わっています。既定値は「含めない」です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバー ジョン 0.29.17-1+lenny1 で修正されています。

安定版 (stable) ディストリビューションおよび不安定版 (unstable) ディスト リビューションには dtc パッケージは収録されていません。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ ョン 0.32.10-1 で修正されています。

直ぐに dtc パッケージをアップグレードすることを勧めます。