Bulletin d'alerte Debian
DSA-1148-1 gallery -- Plusieurs vulnérabilités
- Date du rapport :
- 9 août 2006
- Paquets concernés :
- gallery
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 325285.
Dans le dictionnaire CVE du Mitre : CVE-2005-2734, CVE-2006-0330, CVE-2006-4030. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans gallery, un album photo basé sur la Toile. Le projet des expositions et vulnérabilités communes identifie les problèmes suivants :
- CVE-2005-2734
Une vulnérabilité d'exécution de script sur site croisé permet l'injection du code d'un script web à travers le HTML ou les informations EXIF.
- CVE-2006-0330
Une vulnérabilité d'exécution de script sur site croisé dans l'enregistrement des utilisateurs permet l'injection du code d'un script web.
- CVE-2006-4030
Le manque de vérifications d'entrée dans les modules de statistiques permet la révélation d'informations.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.5-1sarge2.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.5-2.
Nous vous recommandons de mettre à jour votre paquet gallery.
- CVE-2005-2734
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.dsc
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gallery/gallery_1.5-1sarge2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.