Bulletin d'alerte Debian
DSA-808-1 tdiary -- Erreur de conception
- Date du rapport :
- 12 septembre 2005
- Paquets concernés :
- tdiary
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2005-2411.
- Plus de précisions :
-
Yutaka Oiwa et Hiromitsu Takagi ont découvert une vulnérabilité par usurpation des requêtes faites au site (« Cross-Site Request Forgery » ou « CSRF ») dans tdiary, un weblog de nouvelle génération, qui pouvait être exploitée par des attaquants distants pour modifier les données des utilisateurs.
L'ancienne distribution stable (Woody) ne contient pas tdiary.
Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 2.0.1-1sarge1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.2-1.
Nous vous recommandons de mettre à jour vos paquets tdiary.
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb
- http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.