Säkerhetsbulletin från Debian

DSA-1429-1 htdig -- serveröverskridande skript

Rapporterat den:
2007-12-11
Berörda paket:
htdig
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 453278.
I Mitres CVE-förteckning: CVE-2007-6110.
Ytterligare information:

Michael Skibbe upptäckte att htdig, ett webbsökningssystem för intranät eller små Internetservrar, inte korrekt citerade värden som sänts till sökskriptet, vilket gjorde det möjligt för angripare att injicera godtyckliga skript eller HTML-kod via specialskrivna länkar.

För den gamla stabila utgåvan (Sarge) förekommer inte detta problem.

För den stabila utgåvan (Etch) har detta problem rättats i version 1:3.2.0b6-3.1etch1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:3.2.0b6-4.

Vi rekommenderar att ni uppgraderar ert htdig-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1.dsc
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6.orig.tar.gz
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/h/htdig/htdig-doc_3.2.0b6-3.1etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/h/htdig/htdig_3.2.0b6-3.1etch1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.