Рекомендация Debian по безопасности
DSA-1374-1 jffnms -- несколько уязвимостей
- Дата сообщения:
- 11.09.2007
- Затронутые пакеты:
- jffnms
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2007-3189, CVE-2007-3190, CVE-2007-3191.
- Более подробная информация:
-
В jffnms, веб-системе управления сетью для IP-сетей, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2007-3189
Межсайтовый скриптинг (XSS) в auth.php позволяет удалённому злоумышленнику вводить произвольный веб-сценарий или код HTML с помощью параметра
user
. - CVE-2007-3190
Многочисленные случаи SQL-инъекции в auth.php позволяют удалённым злоумышленникам выполнять произвольные команды SQL с помощью параметров
user
иpass
. - CVE-2007-3192
Прямые запросы, направленные не данный URL, позволяют удалённым злоумышленникам обращаться к информации о настройках, обходя ограничения по входу.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 0.8.3dfsg.1-2.1etch1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.8.3dfsg.1-4.
Рекомендуется обновить пакет jffnms.
- CVE-2007-3189
- Исправлено в:
-
Debian GNU/Linux 4.0 alias etch
- Исходный код:
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.diff.gz
- http://security.debian.org/pool/updates/main/j/jffnms/jffnms_0.8.3dfsg.1-2.1etch1.dsc
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.