セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2285-1 mapserver

Debian セキュリティ勧告

DSA-2285-1 mapserver -- 複数の脆弱性

報告日時:

2011-07-26

影響を受けるパッケージ:

mapserver

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-2703, CVE-2011-2704.

詳細:

空間データの表示と対話型マップアプリケーション向けの CGI ベースのウ ェブフレームワーク mapserver に、複数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。

• CVE-2011-2703

  複数のインスタンスでユーザ入力のエスケープが不十分なため、OGC フィ ルタエンコーディング (WMS, WFS, SOS フィルタ) 経由で SQL インジェ クション攻撃に繋がる可能性があります。

• CVE-2011-2704

  OGC フィルタエンコード処理で配列長チェックが抜けているため、スタッ クベースのバッファオーバフローによる任意のコードの実行に繋がる可能 性があります。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 5.0.3-3+lenny7 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 5.6.5-2+squeeze2 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションで は、この問題は近く修正予定です。

直ぐに mapserver パッケージをアップグレードすることを勧めます。