Debians sikkerhedsbulletin
DSA-1374-1 jffnms -- flere sårbarheder
- Rapporteret den:
- 11. sep 2007
- Berørte pakker:
- jffnms
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i jffnms, et webbaseret Network Management System til IP-netværk. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2007-3189
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting, XSS) i auth.php, gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML gennem
user
-parameteret. - CVE-2007-3190
Flere SQL-indsprøjtningssårbarheder i auth.php, gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer gennem
user
- ogpass
-parametrene. - CVE-2007-3192
Direkte forespørgsler på URL'er gjorde det muligt for fjernangribere at tilgå opsætningsoplysninger og dermed omgå logonbegrænsninger.
I den stabile distribution (etch), er disse problemer rettet i version 0.8.3dfsg.1-2.1etch1.
I den ustabile distribution (sid), er disse problemer rettet i version 0.8.3dfsg.1-4.
Vi anbefaler at du opgraderer din jffnms-pakke.
- CVE-2007-3189
- Rettet i:
-
Debian GNU/Linux 4.0 alias etch
- Kildekode:
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.