Debian セキュリティ勧告
DSA-1481-1 python-cherrypy -- 入力のサニタイズ漏れ
- 報告日時:
- 2008-02-05
- 影響を受けるパッケージ:
- python-cherrypy
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2008-0252.
- 詳細:
-
Python 向けオブジェクト指向ウェブ開発システムフレームワーク CherryPy に ディレクトリトラバーサル欠陥が発見されました。この欠陥は cookie に不正な セッション ID を含めることにより攻撃でき、ファイル削除によるサービス拒否 攻撃が可能です。
旧安定版 (sarge) には python-cherrypy パッケージは収録されていません。
安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 2.2.1-3etch1 で修正されています。
直ぐに python-cherrypy パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 4.0 (stable)
- ソース:
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1.diff.gz
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1.dsc
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1.orig.tar.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。