セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2369-1 libsoup2.4

Debian セキュリティ勧告

DSA-2369-1 libsoup2.4 -- 入力の不十分なサニタイズ

報告日時:

2011-12-21

影響を受けるパッケージ:

libsoup2.4

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 635837.
Mitre の CVE 辞書: CVE-2011-2524.

詳細:

C で実装された HTTP ライブラリ libsoup2.4 に、欠陥が発見されました。 libsoup2.4 は、SoupServer へ送るリクエストを処理する際に適切に入力を 検証していません。リモートの攻撃者はこの欠陥を悪用してディレクトリト ラバーサル攻撃を実行し、システムファイルの読み出しが行えます。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 2.4.1-2+lenny1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.30.2-1+squeeze1 で修正されています。

テスト版ディストリビューション (squeeze) では、この問題はバージョン 2.34.3-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.34.3-1 で修正されています。

直ぐに libsoup2.4 パッケージをアップグレードすることを勧めます。