Bulletin d'alerte Debian
DSA-1818-1 gforge -- Vérification d'entrées manquante
- Date du rapport :
- 18 juin 2009
- Paquets concernés :
- gforge
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Laurent Almeras et Guillaume Smet ont découvert une potentielle vulnérabilité aux injections SQL et des vulnérabilités aux scripts intersites dans gforge, un outil de développement collaboratif. À cause de vérifications d'entrées manquantes, il était possible d'injecter des instructions SQL arbitraires et d'utiliser plusieurs paramètres pour mener des attaques par script intersite.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.7~rc2-7lenny1.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 4.5.14-22etch11.
Pour la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.7.3-2.
Nous vous recommandons de mettre à jour vos paquets gforge.
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11.diff.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11.dsc
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch11_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch11_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1.dsc
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1.diff.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-mediawiki_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmcvs_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmsvn_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache2_4.7~rc2-7lenny1_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-mediawiki_4.7~rc2-7lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.