Säkerhetsbulletin från Debian

DSA-1818-1 gforge -- otillräcklig städning av indata

Rapporterat den:

2009-06-18

Berörda paket:

gforge

Sårbara:

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Laurent Almeras och Guillaume Smet har upptäckt en möjlig SQL-injiceringssårbarhet och serveröverskridande skriptsårbarhet i gforge, ett verktyg för samarbete kring utveckling. På grund av otillräcklig städning av indata, var det möjligt att injicera godtyckliga SQL-uttryck och använda flera parametrar för att utföra serveröverskridande skriptangrepp.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 4.7~rc2-7lenny1.

I den gamla stabila utgåvan (Etch) har dessa problem rättats i version 4.5.14-22etch11.

För uttestningsutgåvan (Squeeze) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.7.3-2.

Vi rekommenderar att ni uppgraderar era gforge-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11.dsc
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch11_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch11_all.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1.dsc; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-mediawiki_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmcvs_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-plugin-scmsvn_4.7~rc2-7lenny1_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache2_4.7~rc2-7lenny1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.