Säkerhetsbulletin från Debian

DSA-109-1 faqomatic -- serveröverskridande skriptsårbarhet

Rapporterat den:
2002-02-13
Berörda paket:
faqomatic
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2002-0230.
Ytterligare information:

På grund av saknad kontroll av HTML-specialsekvenser returnerade Faq-O-Matic okontrollerad skriptkod till webbläsaren. Genom att skriva lite specialkod kan detta låta en angripare stjäla kakor från en av Faq-O-Matic-moderatorerna eller administratören.

Serveröverskridande skriptning är en sorts problem som gör det möjligt för en illvillig person att få någon annan att köra ett stycke JavaScript i sin webbläsare. JavaScriptet exekveras på offrets maskin och i den webbserver som kör Faq-O-Matic:s Frågor och Svars-hanterares kontext.

Detta problem har rättats i version 2.603-1.2 för den stabila Debianutgåvan och i version 2.712-2 för den aktuella uttestnings-/instabila utgåvan.

Vi rekommenderar att ni uppgraderar ert faqomatic-paket om ni har det installerat.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.