Debian セキュリティ勧告
DSA-109-1 faqomatic -- クロスサイトスクリプティング脆弱性
- 報告日時:
- 2002-02-13
- 影響を受けるパッケージ:
- faqomatic
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-0230.
- 詳細:
-
適切な HTML エスケープ処理が抜けているため、Faq-O-Matic は未チェックのスクリプトコードをブラウザに返してしまいます。 これにちょっと工夫を加えることで、攻撃者は Faq-O-Matic のモデレータか、管理者のうちの一人の Cookie を盗めてしまいます。
クロスサイトスクリプティング脆弱性とは、悪意のある人物が、 他の人のブラウザで JavaScript コードを実行させることができるという 種類の問題です。 JavaScript は、Faq-O-Matic FAQ マネージャの動いているウェブサイトの コンテクストにあり、犠牲者のマシンで実行されます。
この問題は、安定版 (stable) Debian ディストリビューションのバージョン 2.603-1.2 で、また現在のテスト版 (testing) / 不安定版 (unstable) ではバージョン 2.712-2 で修正されました。
faqomatic パッケージをインストールしている場合、アップグレードすることを 勧めます。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。