neue DSA-Uebersetzungen
Hallo,
hier ein paar neuere DSAs auf Deutsch und ein Patch für
english/security (Absätze eingefügt).
Viele Grüße,
Volker
<define-tag description>Assert-Fehler</define-tag>
<define-tag moreinfo>
<p>Zwei Diensteverweigerungsverwundbarkeiten (<q>denial of service</q>)
wurden in avahi entdeckt, einer Multicast-DNS-Implementierung.</p>
<p>Huge Dias entdeckte, dass der Hintergrundprozess avahi mit einem
<q>assert error</q> abbricht, wenn er ein UDP-Paket mit dem Source-Port
0 erhält (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5081">CVE-2008-5081</a>).</p>
<p>Es wurde entdeckt, dass der Hintergrundprozess avahi mit einem
<q>assert error</q> abbricht, wenn er einen leeren TXT-Record über D-Bus
erhält (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3372">CVE-2007-3372</a>).</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
0.6.16-3etch2 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
0.6.23-3 behoben.</p>
<p>Wir empfehlen Ihnen, Ihre avahi-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1690.data"
# $Id: dsa-1690.wml,v 1.1 2008-12-22 10:14:50 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>Mehrere entfernt auszunutzende Verwundbarkeiten wurden in Moodle entdeckt,
einem Management-System für Online-Kurse. Folgende von Site-übergreifendem
Scripting zur entfernten Ausführung von Code reichenden Verwundbarkeiten
werden in diesem Sicherheitsupdate behandelt.</p>
<p>Mehrere Probleme mit Site-übergreifendem Scripting in der Moodle Codebase
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3326">CVE-2008-3326</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3325">CVE-2008-3325</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3555">CVE-2007-3555</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5432">CVE-2008-5432</a>,
MSA-08-0021, MDL-8849, MDL-12793, MDL-11414, MDL-14806, MDL-10276).</p>
<p>Mehrere Probleme mit Site-übergreifender Anfragefälschung in der Moodle
Codebase
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3325">CVE-2008-3325</a>,
MSA-08-0023).</p>
<p>Privilegieneskalationsfehler in der Moodle Codebase (MSA-08-0001,
MDL-7755).</p>
<p>Eine Anfälligkeit für SQL-Einschleusung im hotpot-Modul (MSA-08-0010).</p>
<p>Eine eingebettete Kopie von Smarty hat mehrere Verwundbarkeiten
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4811">CVE-2008-4811</a>,
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4810">CVE-2008-4810</a>).</p>
<p>Eine eingebettete Kopie von Snoopy ist für Site-übergreifendes
Scripting verwundbar
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4796">CVE-2008-4796</a>).</p>
<p>Eine eingebettete Kopie von Kses ist für Site-übergreifendes
Scripting verwundbar
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1502">CVE-2008-1502</a>).</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
1.6.3-2+etch1 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
1.8.2.dfsg-2 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr moodle (1.6.3-2+etch1)-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1691.data"
# $Id: dsa-1691.wml,v 1.1 2008-12-22 10:14:50 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Unzureichende Input-Bereinigung</define-tag>
<define-tag moreinfo>
<p>
Es wurde entdeckt, dass php-xajax, eine Bibliothek für die Entwicklung
von Ajax-Anwendungen, URLs nicht ausreichend bereinigt, wodurch es
Angreifern möglich ist, bösartige URLs für Site-übergreifendes Skripting
zu verwenden.
</p>
<p>
Für die Stable-Distribution (Etch) wurde dieses Problem in
Version 0.2.4-2+etch1 behoben.
</p>
<p>
Für die Testing- (Lenny) und Unstable- (Sid) Distributionen wurde dieses
Problem in Version 0.2.5-1 behoben.
</p>
<p>
Wir empfehlen Ihnen, Ihr php-xajax-Paket zu aktualisieren.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1692.data"
# $Id: dsa-1692.wml,v 1.1 2008-12-27 10:25:32 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>
Mehrere entfernt auszunutzende Verwundbarkeiten wurden in phpPgAdmin entdeckt,
einem Werkzeug zur Administration von PostgreSQL-Datenbanken über das
Netz. Das <q>Common Vulnerabilities and Exposures</q>-Projekt identifiziert
die folgenden Probleme:
</p>
<ul>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2865">CVE-2007-2865</a>
<p>
Site-übergreifendes Scripting erlaubt es entfernten Angreifern, über
den Serverparameter beliebige Webscripte oder HTML-Code einzuschleusen.
</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5728">CVE-2007-5728</a>
<p>
Site-übergreifendes Scripting erlaubt es entfernten Angreifern, über
PHP_SELF beliebige Webscripte oder HTML-Code einzuschleusen.
</p></li>
<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5587">CVE-2008-5587</a>
<p>
Eine Verwundbarkeit der Verzeichnisabgrenzung erlaubt es entfernten
Angreifern, den _language-Parameter auszunutzen, um beliebige Dateien
zu lesen.
</p></li>
</ul>
<p>
Für die Stable-Distribution (Etch) wurden diese Probleme in Version
4.0.1-3.1etch1 behoben.
</p>
<p>
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version
4.2.1-1.1 behoben.
</p>
<p>
Wir empfehlen Ihnen, Ihr phppgadmin-Paket zu aktualisieren.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1693.data"
# $Id: dsa-1693.wml,v 1.1 2008-12-27 12:14:58 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Designfehler</define-tag>
<define-tag moreinfo>
<p>Paul Szabo entdeckte, dass xterm, ein Terminalemulator für das
X-Window-System, beliebige Zeichen in den Eingabepuffer schreibt, wenn
bestimmte manipulierte Escapesequenzen angezeigt werden
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2383">CVE-2008-2383</a>).</p>
<p>Als weitere Vorsichtsmaßnahme verhindert dieses Sicherheitsupdate,
dass mit Escapesequenzen Schriftsatz, Tastenkombinationen,
oder Eigenschaften des X-Systems geändert werden können.</p>
<p>Für die Stable-Distribution (Etch) wurde dieses Problem in
Version 222-1etch3 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wird dieses Problem bald behoben
sein.</p>
<p>Wir empfehlen Ihnen, Ihr xterm-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1694.data"
# $Id: dsa-1694.wml,v 1.1 2009-01-03 19:30:35 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
<define-tag description>Speicherleck</define-tag>
<define-tag moreinfo>
<p>In der <q>regular expression engine</q> der Skriptsprache Ruby ist
ein Speicherleck enthalten, durch das von einem entfernten Angreifer
unter bestimmten Umständen eine Diensteverweigerung (<q>denial of
service</q>) ausgelöst werden kann
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3443">CVE-2008-3443</a>).</p>
<p>Zusätzlich aktualisiert diese Sicherheitsupdate eine Regression im
REXML-XML-Parser des Paketes ruby1.8; die Regression wurde durch
DSA-1651-1 eingeführt.</p>
<p>Für die Stable-Distribution (Etch) wurden diese Probleme in Version
1.8.5-4etch4 des Paketes ruby1.8, und Version 1.9.0+20060609-1etch4
des Paketes ruby1.9 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in
Version 1.8.7.72-1 des ruby1.8-Paketes behoben. Das Paket ruby1.9 wird
bald aktualisiert werden.</p>
<p>Wir empfehlen Ihnen, Ihre Ruby-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1695.data"
# $Id: dsa-1695.wml,v 1.1 2009-01-03 19:30:35 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
Index: 2008/dsa-1662.wml
===================================================================
RCS file: /cvs/webwml/webwml/english/security/2008/dsa-1662.wml,v
retrieving revision 1.1
diff -u -u -r1.1 dsa-1662.wml
--- 2008/dsa-1662.wml 6 Nov 2008 07:48:30 -0000 1.1
+++ 2008/dsa-1662.wml 6 Jan 2009 15:14:00 -0000
@@ -4,13 +4,13 @@
relational database server. The weakness could permit an attacker
having both CREATE TABLE access to a database and the ability to
execute shell commands on the database server to bypass MySQL access
-controls, enabling them to write to tables in databases to which they
+controls, enabling him to write to tables in databases to which he
would not ordinarily have access.</p>
<p>The Common Vulnerabilities and Exposures project identifies this
vulnerability as <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4098">CVE-2008-4098</a>. Note that a closely aligned issue,
identified as <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4097">CVE-2008-4097</a>, was prevented by the update announced in
-DSA-1608-1. This new update supercedes that fix and mitigates both
+DSA-1608-1. This new update supersedes that fix and mitigates both
potential attack vectors.</p>
<p>For the stable distribution (etch), this problem has been fixed in
Index: 2008/dsa-1691.wml
===================================================================
RCS file: /cvs/webwml/webwml/english/security/2008/dsa-1691.wml,v
retrieving revision 1.1
diff -u -u -r1.1 dsa-1691.wml
--- 2008/dsa-1691.wml 22 Dec 2008 10:14:50 -0000 1.1
+++ 2008/dsa-1691.wml 6 Jan 2009 15:14:00 -0000
@@ -18,10 +18,12 @@
<p>SQL injection issue in the hotpot module (MSA-08-0010).</p>
<p>An embedded copy of Smarty had several vulnerabilities
-(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4811">CVE-2008-4811</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4810">CVE-2008-4810</a>).
-An embedded copy of Snoopy was vulnerable to cross site scripting
-(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4796">CVE-2008-4796</a>).
-An embedded copy of Kses was vulnerable to cross site scripting
+(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4811">CVE-2008-4811</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4810">CVE-2008-4810</a>).</p>
+
+<p>An embedded copy of Snoopy was vulnerable to cross site scripting
+(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4796">CVE-2008-4796</a>).</p>
+
+<p>An embedded copy of Kses was vulnerable to cross site scripting
(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1502">CVE-2008-1502</a>).</p>
<p>For the stable distribution (etch), these problems have been fixed in
Reply to: