Debian セキュリティ勧告

DSA-2882-1 extplorer -- セキュリティ更新

報告日時:
2014-03-20
影響を受けるパッケージ:
extplorer
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 741908.
Mitre の CVE 辞書: CVE-2013-5951.
詳細:

クロスサイトスクリプティング (XSS) 脆弱性が複数、extplorer、Ext JS を利用してウェブ上のファイルを閲覧、管理するソフトウェアに発見されました。 リモートの攻撃者が application.js.php、admin.php、copy_move.php、 functions.php、header.php、upload.php へのURLに細工した文字列を埋め込むことにより、 任意のウェブスクリプトや HTML コードを差し込むことが可能です。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 2.1.0b6+dfsg.2-1+squeeze2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.1.0b6+dfsg.3-4+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに extplorer パッケージをアップグレードすることを勧めます。