Aviso de seguridad de Debian

DSA-109-1 faqomatic -- vulnerabilidad de scripts a través del sitio

Fecha del informe:
13 de feb de 2002
Paquetes afectados:
faqomatic
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2002-0230.
Información adicional:

Debido a código HTML sin escapes que Faq-O-Matic deuelve sin verificar al código de scripts del navegador. Con algunos intercambios esto le permite al atacante robar las cookies de uno de los moderadores Faq-O-Matic o del administrador.

El script a través del sitio es un tipo de problema que permite a personas maliciosas hacer que otra persona ejecute algún JavaScript en su navegador. El JavaScript es ejecutado en la máquina de las víctimas y está en el contexto del sitio web que está ejecutando el gestor de Preguntas de Usuario Frecuentes Faq-O-Matic.

Este problema ha sido arreglado en la versión 2.603-1.2 para la distribución estable de Debian y la versión 2.712-2 para la distribución actual testing/inestable.

Recomendamos que actualice su paquete faqomatic si lo tiene instalado.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.