Debianin tietoturvatiedote

DSA-251-1 w3m -- puuttuva HTML-koodin siteeraus

Ilmoitettu:
14. 2.2003
Vaikutuksen alaiset paketit:
w3m, w3m-ssl
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2002-1335, CVE-2002-1348.
Lisätietoa:

Hironori Sakamoto, yksi w3m:än kehittäjistä, löysi kaksi tietoturvahaavoittuvuutta w3m:ästä ja siihen liittyvistä ohjelmista. w3m-selain ei poista kunnollisesti HTML-tageja kehyksen sisällöstä ja img alt-attribuuteista. Pahantahtoinen HTML-kehys tai img alt-attribuuutti voi harhauttaa käyttäjän lähettämään paikalliset konfigurointiin käytetyt evästeensä. Tietojen vuotaminen ei tapahdu kuitenkaan automaattisesti.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3-2.4 .

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille.

Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 0.3.2.2-1 ja myöhemmät.

Suosittelemme päivittämään w3m- ja w3m-ssl-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4.dsc
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4.diff.gz
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3.orig.tar.gz
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4.dsc
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4.diff.gz
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_alpha.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_alpha.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_arm.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_arm.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_i386.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_i386.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_i386.deb
HPPA:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_hppa.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_hppa.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_m68k.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_m68k.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_mips.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_mips.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_mipsel.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_mipsel.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_powerpc.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_powerpc.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_s390.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_s390.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_sparc.deb
http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_sparc.deb
http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.