blob: 8a22524bc97c327f94bfb4ac0fe8eeab0a082dcf (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>複数の欠陥が PHP 用の「adodb」データベース抽象化レイヤ libphp-adodb
に発見されました。これはオンライン学習用コース管理システム
moodle に組み込まれています。The Common Vulnerabilities
and Exposures project は以下の問題を認識しています:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0146">CVE-2006-0146</a>
<p>Andreas Sandblad さんが、
ユーザによる入力のサニタイズが適切でないことにより潜在的なリモート
SQL インジェクション脆弱性があることを発見しました。
攻撃者がアプリケーションの侵害、データへのアクセスや改変、
あるいは背景となるデータベースの実装にある脆弱性を悪用することが可能となります。
これには、MySQL の root パスワードが空である必要があります。
この問題は当該スクリプトへのアクセスを制限することで修正としています。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0147">CVE-2006-0147</a>
<p>動的コード評価の脆弱性により、リモートの攻撃者に
「do」パラメータを経由した任意の PHP 関数の実行を許します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0410">CVE-2006-0410</a>
<p>Andy Staudacher さんが、入力の不十分なサニタイズが原因の SQL
インジェクション脆弱性を発見しました。リモートの攻撃者に任意の
SQL コマンドの実行を許します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2006-0806">CVE-2006-0806</a>
<p>GulfTech Security Research が、ユーザにより提供された入力のサニタイズが
適切でないことによるクロスサイトスクリプティング脆弱性を複数発見しました。
攻撃者はこの脆弱性を悪用して、
疑いを持たないユーザのマシン上のブラウザで任意のスクリプトを実行したり、
結果としてクッキーベースの認証情報の盗聴を引き起こす可能性があります。</p></li>
</ul>
<p>旧安定版 (old stable) ディストリビューション
(woody) には moodle パッケージは含まれません。</p>
<p>安定版 (stable) ディストリビューション (sarge)
では、この問題はバージョン 1.4.4.dfsg.1-3sarge1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション
(sid) では、この問題は近く修正予定です。</p>
<p>直ちに moodle パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1030.data"
|