blob: b7721e262d759d647debab52ce3ca97300506cf9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>PHP で書かれたウェブベースのブックマークマネージャ sitebar に、リモート
から攻撃可能な複数の問題が発見されました。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5491">CVE-2007-5491</a>
<p>translation モジュールにディレクトリトラバーサルを許す欠陥があり、
リモートの認証済みのユーザが <q>lang</q> パラメータに <q>..</q> シーケンスを指定
して任意のファイルを 0777 に chmod することが可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5492">CVE-2007-5492</a>
<p>translation モジュールに静的コードを注入可能であるという欠陥があ
り、リモートの認証済みのユーザが <q>value</q> パラメータを使って任意の PHP
コードの実行が可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5693">CVE-2007-5693</a>
<p>translation モジュールに eval を注入可能であるという欠陥があり、リ
モートの認証済みのユーザが <q>upd cmd</q> アクションの <q>edit</q> パラメータを使
って任意の PHP コードの実行が可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5694">CVE-2007-5694</a>
<p>translation モジュールにパストラバーサルを許す欠陥があり、リモート
の認証済みのユーザが <q>dir</q> パラメータに絶対パスを指定して任意のファイル
を読むことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5695">CVE-2007-5695</a>
<p>command.php にエラーがあり、リモートの攻撃者が <q>Log In</q> アクションの
<q>forward</q> パラメータを悪用して、ユーザを任意のウェブサイトにリダイレク
トすることが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-5692">CVE-2007-5692</a>
<p>複数のクロスサイトスクリプティングの欠陥があり、リモートの攻撃者が
いくつかのスクリプトにスクリプトや HTML フラグメントを注入可能です。</p></li>
</ul>
<p>旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は
バージョン 3.2.6-7.1sarge1 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 3.3.8-7etch1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 3.3.8-12.1 で修正されています。</p>
<p>直ぐに sitebar パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1423.data"
# $Id$
|
