Aviso de seguridad de Debian
DSA-109-1 faqomatic -- vulnerabilidad de scripts a través del sitio
- Fecha del informe:
- 13 de feb de 2002
- Paquetes afectados:
- faqomatic
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-0230.
- Información adicional:
-
Debido a código HTML sin escapes que Faq-O-Matic deuelve sin verificar al código de scripts del navegador. Con algunos intercambios esto le permite al atacante robar las cookies de uno de los moderadores Faq-O-Matic o del administrador.
El script a través del sitio es un tipo de problema que permite a personas maliciosas hacer que otra persona ejecute algún JavaScript en su navegador. El JavaScript es ejecutado en la máquina de las víctimas y está en el contexto del sitio web que está ejecutando el gestor de Preguntas de Usuario Frecuentes Faq-O-Matic.
Este problema ha sido arreglado en la versión 2.603-1.2 para la distribución estable de Debian y la versión 2.712-2 para la distribución actual testing/inestable.
Recomendamos que actualice su paquete faqomatic si lo tiene instalado.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.