path: root/japanese/security/2011/dsa-2220.wml

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>

<p>
バグトラッキングシステム Request Tracker に複数の欠陥が存在します。
</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1685">CVE-2011-1685</a>

<p>
外部カスタムフィールド機能が有効になっている場合、Request Tracker
は認証済みのユーザからのウェブサーバ権限での任意のコードの実行を許
します。これはクロスサイトリクエストフォージェリ攻撃によるものです
(外部カスタムフィールド機能は標準では無効になっています)。
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1686">CVE-2011-1686</a>
<p>
複数の SQL インジェクション脆弱性のため、認証済みのユーザが不法に
データベースからデータを得ることが可能です。

</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1687">CVE-2011-1687</a>
<p>
情報の漏洩を起こす欠陥があり、認証済みのユーザがサーチインターフェ
ース経由で暗号化されたパスワードなどの機密情報を読み出せます。
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1688">CVE-2011-1688</a>
<p>
一部のウェブサーバ (Lighttpd など) で実行している場合、Request
Tracker はディレクトリトラバーサルに対し脆弱であり、ウェブサーバ上
の任意のファイルを読み出すことができます。Request Tracker を
Apache や Nginx で実行している場合、この問題はありません。
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1689">CVE-2011-1689</a>
<p>
Request Tracker に複数のクロスサイトスクリプティング脆弱性があります。
</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1690">CVE-2011-1690</a>
<p>
Request Tracker は、正当なユーザから提供された認証情報を第三者サー
バに転送することを許しています。
</p></li>

</ul>

<p>旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン 3.6.7-5+lenny6 of the request-tracker3.6 package で修正さ
れています。</p>

<p>安定版 (stable) ディストリビューション (squeeze) では、これらの問題は
バージョン 3.8.8-7+squeeze1 の request-tracker3.8 パッケージで修正され
ています。</p>

<p>テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、
これらの問題はバージョン 3.8.10-1 の request-tracker3.8 パッケージで修
正されています。</p>

<p>直ぐに Request Tracker パッケージをアップグレードすることを勧めます。</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2220.data"
# $Id$