Рекомендация Debian по безопасности

DSA-1829-1 sork-passwd-h3 -- недостаточная очистка ввода

Дата сообщения:

11.07.2009

Затронутые пакеты:

sork-passwd-h3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 536554.
В каталоге Mitre CVE: CVE-2009-2360.

Более подробная информация:

Было обнаружено, что sork-passwd-h3, модуль для Horde3 для изменения паролей пользователей, уязвима к межсайтовому скриптингу с помощью параметра движка.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 3.0-2+etch1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 3.0-2+lenny1.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1-1.1.

Рекомендуется обновить пакеты sork-passwd-h3.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:: http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+etch1.dsc; http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+etch1.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:: http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+lenny1.dsc; http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0.orig.tar.gz; http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+lenny1.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/sork-passwd-h3/sork-passwd-h3_3.0-2+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.