Bulletin d'alerte Debian
DSA-642-1 gallery -- Plusieurs vulnérabilités
- Date du rapport :
- 17 janvier 2005
- Paquets concernés :
- gallery
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 11602.
Dans le dictionnaire CVE du Mitre : CVE-2004-1106. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans gallery, un album photo basé sur le web et écrit en PHP4. Le projet « Common Vulnerabilities and Exposures » a identifié les failles suivantes :
- CAN-2004-1106
Jim Paris a découvert une vulnérabilité sur les éléments dynamiques (cross site scripting) qui permettait d'insérer du code en utilisant des liens formés d'une certaine manière.
- CVE-NOMATCH
Les développeurs amont de gallery ont corrigé plusieurs cas d'insertions possibles de variable, qui pouvait conduire gallery à avoir un comportement surprenant, comme ne pas prendre en compte le mot de passe de la base de données.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.5-8woody3.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.4.4-pl4-1.
Nous vous recommandons de mettre à jour votre paquet gallery.
- CAN-2004-1106
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.