Debian セキュリティ勧告
DSA-642-1 gallery -- 複数の脆弱性
- 報告日時:
- 2005-01-17
- 影響を受けるパッケージ:
- gallery
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 11602.
Mitre の CVE 辞書: CVE-2004-1106. - 詳細:
-
PHP4 で書かれたウェブベースのフォトアルバムである gallery に複数の脆弱性が発見されました。 The Common Vulnerabilities and Exposures project では以下の脆弱性を認識しています:
- CAN-2004-1106
Jim Paris さんは、特別に作成した URL を使うとコードを挿入可能となる、 クロスサイトスクリプティング脆弱性を発見しました。
- CVE-NOMATCH
gallery 開発元のデベロッパーらは、変数の挿入が可能になっていた箇所を複数修正しました。 これは、例えばデータベースパスワードを漏洩させるような、gallery に意図しない動作をさせることが可能なものです。
安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 1.2.5-8woody3 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 1.4.4-pl4-1 で修正されています。
gallery パッケージのアップグレードをお勧めします。
- CAN-2004-1106
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.2.5-8woody3_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。