Debian-Sicherheitsankündigung

DSA-109-1 faqomatic -- Site-übergreifende Scripting-Verwundbarkeit

Datum des Berichts:
13. Feb 2002
Betroffene Pakete:
faqomatic
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-0230.
Weitere Informationen:

Wegen nicht-umgesetztem HTML-Code liefert Faq-O-Matic ungeprüften Scripting-Code an den Browser zurück. Mit einigem hin und her erlaubt das einem Angreifer, Cookies von einem der Faq-O-Matic-Moderatoren oder dem -Admin zu stehlen.

Site-übergreifendes Scripting ist eine Problemart, die es einer böswilligen Person erlaubt, andere Personen JavaScript in deren Browser ausführen zu lassen. Das JavaScript wird auf dem Rechner des Opfers ausgeführt und befindet sich im Zusammenhang mit der Website, die den Faq-O-Matic Frequently Asked Question Manager laufen hat.

Dieses Problem wurde in Version 2.603-1.2 für die stable Debian-Distribution und Version 2.712-2 für die aktuelle testing/unstable Distribution behoben.

Wir empfehlen Ihnen, Ihr faqomatic Paket zu aktualisieren, falls Sie es installiert haben.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.