Debian セキュリティ勧告
DSA-893-1 acidlab -- 入力のサニタイジング欠落
- 報告日時:
- 2005-11-14
- 影響を受けるパッケージ:
- acidlab
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 335998, バグ 336788.
(SecurityFocus の) Bugtraq データベース: BugTraq ID 15199.
Mitre の CVE 辞書: CVE-2005-3325. - 詳細:
-
Remco Verhoef さんが、侵入データベース用分析コンソール (Analysis Console for Intrusion Databases) acidlab と、基礎分析およびセキュリティエンジン (Basic Analysis and Security Engine) acidbase に脆弱性を発見しました。 悪意のあるユーザが悪用して SQL インジェクション攻撃を行うことが可能です。
Debian の、BASE が分岐した侵入データベース用分析コンソール (ACID、Analysis Console for Intrusion Databases) のメンテナは BASE および ACID 両方のセキュリティ監査の後、見つかった欠陥の影響は base_qry_main.php (BASE) や acid_qry_main.php (ACID) のコンポーネントだけにとどまらず、 適切でないパラメータ検証およびフィルタリングのため、 コンソールの他の要素にも影響があると判断しました。
見つかった SQL インジェクションバグおよびクロスサイトスクリプティングバグはすべて Debian パッケージで修正され、検出された他の攻撃経路はすべて塞がれています。
旧安定版 (old stable) ディストリビューション (woody) では、この問題はバージョン 0.9.6b20-2.1 で修正されています。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 0.9.6b20-10.1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.9.6b20-13 および acidbase のバージョン 1.2.1-1 で修正されています。
直ちに acidlab および acidbase パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。