Bulletin d'alerte Debian
DSA-1459-1 gforge -- Validations des entrées insuffisantes
- Date du rapport :
- 13 janvier 2008
- Paquets concernés :
- gforge
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0173.
- Plus de précisions :
-
On a découvert que Gforge, un outil de développement collaboratif, ne validait pas correctement certains paramètres CGI. Cela permet des injections de code SQL dans les scripts liés aux exportations de flux de nouvelles.
Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé dans la version 3.1-31sarge5.
Pour la distribution stable (Etch), ce problème a été corrigé dans la version 4.5.14-22etch4.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 4.6.99+svn6330-1.
Nous vous recommandons de mettre à jour votre paquet gforge.
- Corrigé dans :
-
Debian GNU/Linux 3.1 (oldstable)
- Source :
- http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5.diff.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5.dsc
- http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-common_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-cvs_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-sourceforge-transition_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/sourceforge_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_3.1-31sarge5_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge5_all.deb
Debian GNU/Linux 4.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4.diff.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4.dsc
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch4_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch4_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.