Aviso de seguridad de Debian

DSA-109-1 faqomatic -- vulnerabilidad de scripts a través del sitio

Fecha del informe:

13 de feb de 2002

Paquetes afectados:

faqomatic

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2002-0230.

Información adicional:

Debido a código HTML sin escapes que Faq-O-Matic deuelve sin verificar al código de scripts del navegador. Con algunos intercambios esto le permite al atacante robar las cookies de uno de los moderadores Faq-O-Matic o del administrador.

El script a través del sitio es un tipo de problema que permite a personas maliciosas hacer que otra persona ejecute algún JavaScript en su navegador. El JavaScript es ejecutado en la máquina de las víctimas y está en el contexto del sitio web que está ejecutando el gestor de Preguntas de Usuario Frecuentes Faq-O-Matic.

Este problema ha sido arreglado en la versión 2.603-1.2 para la distribución estable de Debian y la versión 2.712-2 para la distribución actual testing/inestable.

Recomendamos que actualice su paquete faqomatic si lo tiene instalado.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc; http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.