Debian セキュリティ勧告
DSA-1693-2 phppgadmin -- 複数の脆弱性
- 報告日時:
- 2008-12-27
- 影響を受けるパッケージ:
- phppgadmin
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 427151, バグ 449103, バグ 508026.
Mitre の CVE 辞書: CVE-2007-2865, CVE-2007-5728, CVE-2008-5587. - 詳細:
-
PostgreSQL データベースをウェブで管理するツール phpPgAdmin に、リモート から攻撃可能な複数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2007-2865
クロスサイトスクリプティング欠陥があり、server パラメータ経由でリモ ートの攻撃者が任意のウェブスクリプトや HTML を挿入可能です。
- CVE-2007-5728
クロスサイトスクリプティング欠陥があり、PHP_SELF 経由でリモートの攻 撃者が任意のウェブスクリプトや HTML を挿入可能です。
- CVE-2008-5587
ディレクトリトラバーサル欠陥があり、リモートの攻撃者が _language パ ラメータを使って任意のファイルを読み出し可能です。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 4.0.1-3.1etch2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 4.2.1-1.1 で修正されています。
直ぐに phppgadmin パッケージをアップグレードすることを勧めます。
- CVE-2007-2865
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.dsc
- http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.diff.gz
- http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。