Debian-Sicherheitsankündigung
DSA-1374-1 jffnms -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 11. Sep 2007
- Betroffene Pakete:
- jffnms
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- Weitere Informationen:
-
Mehrere Verwundbarkeiten wurden in jffnms, einem Web-basierten Netzwerk-Verwaltungsystem für IP-Netze, entdeckt. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2007-3189
Eine Site-übergreifende Verwundbarkeit (XSS) in auth.php ermöglicht einem entfernten Angreifer, beliebigen Web-Skript-Code oder HTML mittels des user-Parameters einzuschleusen.
- CVE-2007-3190
Mehrere SQL-Einschleusungsverwundbarkeiten in auth.php ermöglichen entfernten Angreifern die Ausführung beliebiger SQL-Kommandos mittels den
user
- undpass
-Parametern. - CVE-2007-3192
Direkte Abfragen von URLs machen es entfernten Angreifer möglich, auf Konfigurationsinformationen unter Umgehung von Anmeldebeschränkungen zuzugreifen.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 0.8.3dfsg.1-2.1etch1 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 0.8.3dfsg.1-4 behoben.
Wir empfehlen Ihnen, Ihr jffnms-Paket zu aktualisieren.
- CVE-2007-3189
- Behoben in:
-
Debian GNU/Linux 4.0 alias etch
- Quellcode:
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.