Bulletin d'alerte Debian
DSA-1374-1 jffnms -- Plusieurs vulnérabilités
- Date du rapport :
- 11 septembre 2007
- Paquets concernés :
- jffnms
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans jffnms, un système de gestion de réseau basé sur la Toile pour les réseaux IP. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-3189
Une vulnérabilité de script intersite dans auth.php permet à un attaquant distant d'injecter du HTML ou un script web arbitraire par l'intermédiaire du paramètre
user
. - CVE-2007-3190
Plusieurs vulnérabilités d'injection de code SQL dans auth.php permettent à des attaquants distants d'exécuter des commandes SQL arbitraires par l'intermédiaire des paramètres
user
etpass
. - CVE-2007-3192
Des requêtes directes d'URL rendent possible l'accès à des informations de configuration par des attaquants distants en contournant les restrictions d'identification.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.8.3dfsg.1-2.1etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.8.3dfsg.1-4.
Nous vous recommandons de mettre à jour votre paquet jffnms.
- CVE-2007-3189
- Corrigé dans :
-
Debian GNU/Linux 4.0 alias etch
- Source :
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.