Debians sikkerhedsbulletin
DSA-109-1 faqomatic -- "cross-site scripting"-sårbarhed
- Rapporteret den:
- 13. feb 2002
- Berørte pakker:
- faqomatic
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2002-0230.
- Yderligere oplysninger:
-
På grund af ukorrekt HTML-kode returnerer Faq-O-Matic ukontrolleret scriptkode til browseren. Med nogen tilpasning givet det en angriber mulighed for stjæle "cookies" fra en af Faq-O-Matic-moderatorerne eller administratoren.
"Cross-Site Scripting" er et problem der giver en ondsindet person mulighed for at få en anden person til at køre noget JavaScript i dennes browser. JavaScript'et udføres på offerets maskine og sker indenfor webstedet som kører vedligeholdelsesprogrammet til Faq-O-Matic Frequently Asked Question.
Dette problem er rettet i version 2.603-1.2 i den stabile distribution af Debian og i version 2.712-2 i den aktuelle test/unstabile distribution.
Vi anbefaler at du opgraderer faqomatic-pakken, hvis du har installeret den.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- Arkitekturuafhængig komponent:
- http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.