2009年11月 7日

[debian-users:53291] [Translate] [SECURITY] [DSA 1930-1] New drupal6 packages fix severalvulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1930-1 security@xxxxx
http://www.debian.org/security/ Steffen Joeris

November 07, 2009 http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package : drupal6
Vulnerability : 複数の欠陥
Problem type : リモート
Debian-specific: いいえ
CVE IDs : CVE-2009-2372 CVE-2009-2373 CVE-2009-2374
Debian Bug : 535435 547140


一通りの機能を持つコンテンツマネージメントフレームワーク drupal6 に複数
の欠陥が発見されました。The Common Vulnerabilities and Exposures project
は以下の問題を認識しています。

CVE-2009-2372

Gerhard Killesreiter さんにより、ユーザ署名を扱う処理に欠陥が発見されま
した。細工したユーザ署名により、ユーザから任意のコードを挿入可能です
(SA-CORE-2009-007)。

CVE-2009-2373

Mark Piper, Sven Herrmann および Brandon Knight の各氏により、tid パラ
メータを使ったクロスサイトスクリプティング攻撃を許す問題が発見されまし
た (SA-CORE-2009-007)。

CVE-2009-2374

Sumit Datta さんにより、一部の drupal6 のページがユーザクレデンシャルな
どの機密情報をリークすることが発見されました (SA-CORE-2009-007)。

クロスサイトリクエストフォージェリ攻撃や特権の昇格に繋がる可能性のある
OpenID モジュールの複数の設計上の欠陥も修正されています。また、ファイル
アップロード関数が全拡張子を適切に扱っていなかったため、任意のコードの
実行の可能性が合った問題も修正されています (SA-CORE-2009-008)。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー
ジョン 6.6-3lenny3 で修正されています。

旧安定版 (etch) には drupal6 パッケージは収録されていません。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 6.14-1 で修正されています。

直ぐに drupal6 パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

Debian (stable)
- ---------------

安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
.
ソースアーカイブ:

http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
Size/MD5 checksum: 1130 489d56336053311b1ee24aaf17f41ffb
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
Size/MD5 checksum: 24870 d70dfad8a6f211cb9dd62e071e5ddfd9
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Size/MD5 checksum: 1071507 caaa55d1990b34dee48f5047ce98e2bb

アーキテクチャに依存しないパッケージ:

http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb
Size/MD5 checksum: 1088258 6162b6933d636065c6a07e6f6199c7df


これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2009年11月 7日 10:36
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/90101
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。