blob: ab4429fcffc724cfa881f4f16a8f02f1e5957a17 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>SQL インジェクション脆弱性</define-tag>
<define-tag moreinfo>
<p>DSA-1727-1 の proftpd-dfsg のセキュリティアップデートには、postgresql バッ
クエンド関連で二つのエンバグを行っていました。今回の更新ではその欠陥を修正
します。また、旧安定版 (etch) にはこのセキュリティ問題の影響がないことが判
明しました。念のため元の勧告を再掲します。</p>
<p>ヴァーチャルホスティング機能を持つ FTP デーモン proftpd に二つの SQL イン
ジェクションを許す欠陥が発見されました。The Common Vulnerabilities and
Exposures project は以下の問題を認識しています。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0542">CVE-2009-0542</a>
<p>Shino さんにより、proftpd が特定の文字列をユーザ名に使用することにより
SQL インジェクション攻撃が可能であることが発見されました。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-0543">CVE-2009-0543</a>
<p>TJ Saunders さんにより、proftpd がマルチバイト文字列を使用した場合のエ
スケープ処理が不完全なため、SQL インジェクション攻撃が可能であることが
発見されました。</p></li>
</ul>
<p>旧安定版 (etch) にはこれらの問題の影響はありません。</p>
<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ
ョン 1.3.1-17lenny2 で修正されています。</p>
<p>テスト版ディストリビューション (squeeze) では、これらの問題は近く修正予定です。</p>
<p>不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 1.3.2-1 で修正されています。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1730.data"
# $Id$
|
