セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2592-1 elinks

Debian セキュリティ勧告

DSA-2592-1 elinks -- プログラミングの誤り

報告日時:

2012-12-28

影響を受けるパッケージ:

elinks

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4545.

詳細:

Marko Myllynen さんが、強力なテキストモードブラウザ ELinks が GSS ネゴシエートの処理でユーザの資格情報を誤って委譲することを発見しました。

安定版 (stable) ディストリビューション (squeeze)では、この問題はバージョン 0.12~pre5-2+squeeze1 で修正されています。Squeeze での初期リリース以降、XULRunner は更新の必要があり、現在アーカイブにあるバージョンは ELinks と互換性がありません。 そういうわけで、javaScript サポートを無効化する必要がありました (ごく一部の標準的な機能についてはそれでもサポートされています)。 将来のある時点の更新で再び有効化されると思われます。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 0.12~pre5-9 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.12~pre5-9 で修正されています。

直ちに elinks パッケージをアップグレードすることを勧めます。