Debian Security Advisory

DSA-1568-1 b2evolution -- 入力のサニタイズ不足

Date Reported:

05 May 2008

Affected Packages:

Vulnerable:

Yes

Security database references:

In the Debian bugtracking system: Bug 410568.
In Mitre's CVE dictionary: CVE-2007-0175.

More information:

"unsticky" さんにより、ブログエンジン b2evolution が入力のサニタイズを十分に行っていないため、クロスサイトスクリプティングが可能であることが発見されました。

安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 0.9.2-3+etch1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.9.2-4 で修正されています。

直ぐに b2evolution パッケージをアップグレードすることを勧めます。

Fixed in:

Debian GNU/Linux 4.0 (etch)

Source:: http://security.debian.org/pool/updates/main/b/b2evolution/b2evolution_0.9.2-3+etch1.diff.gz; http://security.debian.org/pool/updates/main/b/b2evolution/b2evolution_0.9.2.orig.tar.gz; http://security.debian.org/pool/updates/main/b/b2evolution/b2evolution_0.9.2-3+etch1.dsc
Architecture-independent component:: http://security.debian.org/pool/updates/main/b/b2evolution/b2evolution_0.9.2-3+etch1_all.deb

MD5 checksums of the listed files are available in the original advisory.