Рекомендация Debian по безопасности
DSA-711-1 info2www -- отсутствие очистки ввода
- Дата сообщения:
- 19.04.2005
- Затронутые пакеты:
- info2www
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 281655.
В каталоге Mitre CVE: CVE-2004-1341. - Более подробная информация:
-
Николас Грегори обнаружил межсайтовый скриптинг в info2www, программе для преобразования файлов info в HTML. Злоумышленник может поместить безобидно выглядящую ссылку на страницу, что приведёт к выполнению произвольных команд в браузере жертвы.
В стабильном выпуске (woody) эта проблема была исправлена в версии 1.2.2.9-20woody1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.2.2.9-23.
Рекомендуется обновить пакет info2www.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1.dsc
- http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1.diff.gz
- http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.