2008年2月 9日

[debian-users:50161] [Translate] [SECURITY] [DSA 1488-1] New phpbb2 packages fix severalvulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1488-1 security@xxxxx
http://www.debian.org/security/ Thijs Kinkhorst

February 09, 2008 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : phpbb2
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE Id(s) : CVE-2006-4758 CVE-2006-6839 CVE-2006-6840 CVE-2006-6508
CVE-2006-6841 CVE-2008-0471
Debian Bug : 388120 405980 463589

ウェブベースの掲示版ソフトウェア phpBB に、リモートから攻撃可能な複数の
問題が発見されました。The Common Vulnerabilities and Exposures project
は以下の問題を認識しています。

CVE-2008-0471

プライベートメッセージングがクロスサイトリクエストフォージェリを
許すため、ユーザに細工したウェブページを開かせることで、プライベ
ートメッセージを全て消去することが可能です。

CVE-2006-6841 / CVE-2006-6508

クロスサイトリクエストフォージェリのため、攻撃者がログインしたユ
ーザ権限で様々な操作を実行可能です (Sarge のみの欠陥)。

CVE-2006-6840

負のスタートパラメータにより、不正な出力結果を作成することが可能
です (Sarge のみの欠陥)。

CVE-2006-6839

リダイレクションターゲットが十分にチェックされていないため、
phpBB フォーラムからの認証を経ない外部リダイレクトが可能です
(Sarge のみの欠陥)。

CVE-2006-4758

認証されたフォーラム管理者が、特殊な形式のファイル名を用いて任意
のタイプのファイルのアップロードが可能です (Sarge のみの欠陥)。


安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 2.0.21-7 で修正されています。

旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は
バージョン 2.0.13+1-6sarge4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 2.0.22-3 で修正されています。

直ぐに phpbb2 パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.diff.gz
Size/MD5 checksum: 67912 c403597d08f4c5af0f62b84c5ee72a7e
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1.orig.tar.gz
Size/MD5 checksum: 3340445 678d0cb0372e46402a472c510fb90d78
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13+1-6sarge4.dsc
Size/MD5 checksum: 1011 d5ca94a7a4c2b3468428a993a1dbc5cc

アーキテクチャに依存しないパッケージ:


http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.13-6sarge4_all.deb
Size/MD5 checksum: 37766 f0df2114bd60d9b84fbda1d241294fdd
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.13-6sarge4_all.deb
Size/MD5 checksum: 526154 944e55e056fc34d970e95b78201589fe

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.13-6sarge4_all.deb
Size/MD5 checksum: 2868920 f10c4962035ede6e02417b8098efeda0

Debian GNU/Linux 4.0 alias etch
- -------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.dsc
Size/MD5 checksum: 1051 88ad3a4f2ee714cce779873b53ebd323
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21.orig.tar.gz
Size/MD5 checksum: 3203456 30383a9bf6c5d21736e4bdf9ec7852d5
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7.diff.gz
Size/MD5 checksum: 90580 896f80500e90867741c516e57fc8bfcc

アーキテクチャに依存しないパッケージ:

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-languages_2.0.21-7_all.deb
Size/MD5 checksum: 2791410 afd8a0fe8138c8a5cf00a3e4ac10ac59
http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2_2.0.21-7_all.deb
Size/MD5 checksum: 554842 e8825ef3431bfe7ccf72f9f59f13a119

http://security.debian.org/pool/updates/main/p/phpbb2/phpbb2-conf-mysql_2.0.21-7_all.deb
Size/MD5 checksum: 53706 49baf96bcc1c273a93e8bb5169dca722


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------


投稿者 xml-rpc : 2008年2月 9日 13:58
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69623
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。