Bulletin d'alerte Debian

DSA-808-1 tdiary -- Erreur de conception

Date du rapport :
12 septembre 2005
Paquets concernés :
tdiary
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2005-2411.
Plus de précisions :

Yutaka Oiwa et Hiromitsu Takagi ont découvert une vulnérabilité par usurpation des requêtes faites au site (« Cross-Site Request Forgery » ou « CSRF ») dans tdiary, un weblog de nouvelle génération, qui pouvait être exploitée par des attaquants distants pour modifier les données des utilisateurs.

L'ancienne distribution stable (Woody) ne contient pas tdiary.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 2.0.1-1sarge1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.2-1.

Nous vous recommandons de mettre à jour vos paquets tdiary.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.dsc
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-contrib_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-mode_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-plugin_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary-theme_2.0.1-1sarge1_all.deb
http://security.debian.org/pool/updates/main/t/tdiary/tdiary_2.0.1-1sarge1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.