Bulletin d'alerte Debian

DSA-1459-1 gforge -- Validations des entrées insuffisantes

Date du rapport:

13 janvier 2008

Paquets concernés:

gforge

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2008-0173.

Pour plus d'information:

On a découvert que Gforge, un outil de développement collaboratif, ne validait pas correctement certains paramètres CGI. Cela permet des injections de code SQL dans les scripts liés aux exportations de flux de nouvelles.

Pour l'ancienne distribution stable (Sarge), ce problème a été corrigé dans la version 3.1-31sarge5.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 4.5.14-22etch4.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 4.6.99+svn6330-1.

Nous vous recommandons de mettre à jour votre paquet gforge.

Corrigé dans:

Debian GNU/Linux 3.1 (oldstable)

Source :: http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1.orig.tar.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5.dsc
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-common_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-cvs_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-sourceforge-transition_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/sourceforge_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_3.1-31sarge5_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_3.1-31sarge5_all.deb

Debian GNU/Linux 4.0 (stable)

Source :: http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4.diff.gz; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4.dsc
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch4_all.deb; http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch4_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.