Рекомендация Debian по безопасности

DSA-1882-1 xapian-omega -- отсутствие очистки ввода

Дата сообщения:
09.09.2009
Затронутые пакеты:
xapian-omega
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2009-2947.
Более подробная информация:

Было обнаружено, что xapian-omega, CGI-интерфейс для выполнения поиска по базам данных xapian, неправильно экранирует передаваемый пользователем ввод при выводе исключения. Злоумышленник может использовать это для выполнения межсайтового скриптинга при помощи специально сформированных поисковых запросов, приводящих к исключению, и кражи потенциально чувствительно информации из веб-приложений, работающих в том же самом домене или использующих на веб-сайтой поисковый движик.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 0.9.9-1+etch1.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 1.0.7-3+lenny1.

В тестируемом (squeeze) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты xapian-omega.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1.dsc
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1.diff.gz
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_0.9.9-1+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1.dsc
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7.orig.tar.gz
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xapian-omega/xapian-omega_1.0.7-3+lenny1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.