Debian-Sicherheitsankündigung
DSA-642-1 gallery -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 17. Jan 2005
- Betroffene Pakete:
- gallery
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 11602.
In Mitres CVE-Verzeichnis: CVE-2004-1106. - Weitere Informationen:
-
In gallery, einem in PHP4 geschriebenen, webbasierten Fotoalbum, wurden mehrere Verwundbarkeiten entdeckt. Das »Common Vulnerabilities and Exposures project« legt die folgenden Verwundbarkeiten fest:
- CAN-2004-1106
Jim Paris entdeckte eine Verwundbarkeit auf Grund von Site-übergreifendem Skripting, die es erlaubt, Code mittels speziell gestalteter URLs einzuspeisen.
- CVE-KEINTREFFER
Die ursprünglichen Entwickler von gallery haben mehrere Fälle von möglichen Variableneinspeisungen behoben, die gallery zu ungewollten Aktionen verleiten, z.B. Datenbankpasswörter anzuzeigen.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.5-8woody3 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.4.4-pl4-1 behoben.
Wir empfehlen Ihnen, Ihr gallery-Paket zu aktualisieren.
- CAN-2004-1106
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
