Debian-Sicherheitsankündigung

DSA-808-1 tdiary -- Designfehler

Datum des Berichts:
12. Sep 2005
Betroffene Pakete:
tdiary
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2005-2411.
Weitere Informationen:

Yutaka Oiwa and Hiromitsu Takagi entdeckten eine Verwundbarkeit in tdiary, einem Weblog der nächsten Generation, die durch die Site-übergreifende Fälschung einer Anfrage ausgenutzt werden kann. Entfernte Angreifer können dadurch Informationen über Benutzer ändern.

Die alte Stable-Distribution (Woody) enthält das tdiary-Paket nicht.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.0.1-1sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.0.2-1 behoben.

Wir empfehlen Ihnen, Ihre tdiary-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.