Debian セキュリティ勧告
DSA-1374-1 jffnms -- 複数の脆弱性
- 報告日時:
- 2007-09-11
- 影響を受けるパッケージ:
- jffnms
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- 詳細:
-
IP ネットワーク用 の web ベースのネットワーク管理システム jffnms に複数の脆弱性が発見されました。 Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:
- CVE-2007-3189
auth.php に、
user
パラメータを利用して、攻撃者がリモートから任意の web スクリプトや HTML を挿入可能なクロスサイトスクリプティング (XSS) 脆弱性が存在します。 - CVE-2007-3190
auth.php に、
user
パラメータおよびpass
パラメータを利用して、攻撃者がリモートから任意の SQL コマンドを実行可能な SQL インジェクション脆弱性が複数存在しています。 - CVE-2007-3192
直接 URL を入力することで、攻撃者がリモートからログイン制限を迂回して設定情報にアクセス可能な問題があります。
安定版ディストリビューション (stable、コードネーム etch) では、これらの問題はバージョン 0.8.3dfsg.1-2.1etch1 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 0.8.3dfsg.1-4 で修正されています。
jffnms パッケージのアップグレードをお勧めします。
- CVE-2007-3189
- 修正:
-
Debian GNU/Linux 4.0 alias etch
- ソース:
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。