Debian セキュリティ勧告

DSA-109-1 faqomatic -- クロスサイトスクリプティング脆弱性

報告日時:
2002-02-13
影響を受けるパッケージ:
faqomatic
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2002-0230.
詳細:

適切な HTML エスケープ処理が抜けているため、Faq-O-Matic は未チェックのスクリプトコードをブラウザに返してしまいます。 これにちょっと工夫を加えることで、攻撃者は Faq-O-Matic のモデレータか、管理者のうちの一人の Cookie を盗めてしまいます。

クロスサイトスクリプティング脆弱性とは、悪意のある人物が、 他の人のブラウザで JavaScript コードを実行させることができるという 種類の問題です。 JavaScript は、Faq-O-Matic FAQ マネージャの動いているウェブサイトの コンテクストにあり、犠牲者のマシンで実行されます。

この問題は、安定版 (stable) Debian ディストリビューションのバージョン 2.603-1.2 で、また現在のテスト版 (testing) / 不安定版 (unstable) ではバージョン 2.712-2 で修正されました。

faqomatic パッケージをインストールしている場合、アップグレードすることを 勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。