Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2335-1 man2html

Debians sikkerhedsbulletin

DSA-2335-1 man2html -- manglende fornuftighedskontrol af inddata

Rapporteret den:

5. nov 2011

Berørte pakker:

man2html

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-2770.

Yderligere oplysninger:

Tim Starling opdagede at den Debian-native CGI-wrapper til man2html, et program til at konvertere UNIX-mansider til HTML, ikke på korrekt vis escapede brugerleverede inddata, når der blev vist forskellige fejlmeddelelser. En fjernangriber kunne udnytte fejlen til at udføre skripter på tværs af websteder (XSS).

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.6f-3+lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 1.6f+repack-1+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 1.6g-6.

I den ustabile distribution (sid), er dette problem rettet i version 1.6g-6.

Vi anbefaler at du opgraderer dine man2html-pakker.