Debians sikkerhedsbulletin

DSA-109-1 faqomatic -- "cross-site scripting"-sårbarhed

Rapporteret den:
13. feb 2002
Berørte pakker:
faqomatic
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-0230.
Yderligere oplysninger:

På grund af ukorrekt HTML-kode returnerer Faq-O-Matic ukontrolleret scriptkode til browseren. Med nogen tilpasning givet det en angriber mulighed for stjæle "cookies" fra en af Faq-O-Matic-moderatorerne eller administratoren.

"Cross-Site Scripting" er et problem der giver en ondsindet person mulighed for at få en anden person til at køre noget JavaScript i dennes browser. JavaScript'et udføres på offerets maskine og sker indenfor webstedet som kører vedligeholdelsesprogrammet til Faq-O-Matic Frequently Asked Question.

Dette problem er rettet i version 2.603-1.2 i den stabile distribution af Debian og i version 2.712-2 i den aktuelle test/unstabile distribution.

Vi anbefaler at du opgraderer faqomatic-pakken, hvis du har installeret den.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.