Debian セキュリティ勧告

DLA-68-1 fex -- LTS セキュリティ更新

報告日時:
2014-09-30
影響を受けるパッケージ:
fex
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-3875, CVE-2014-3876, CVE-2014-3877.
詳細:
  • CVE-2014-3875

    rup へのリクエストにエンコードされた改行文字を差し込む際、ウェブページの冒頭に新しい HTML コードを差し込むのと同様に、応答に追加の HTTP ヘッダを差し込むことが可能です。

  • CVE-2014-3876

    パラメータ akey はフィルターを通さないまま HTML ページの一部となります。 GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。

  • CVE-2014-3877

    パラメータ addto はわずかにフィルターを通しただけで HTML ページの一部としてユーザに返されます。 GETパラメータではURLとしてのフィルターが経由されるため使えない文字がありますが、 POST パラメータを使った場合には迂回されます。しかし、GET パラメータだけでも ユーザによるいくらかの操作を経由させることでこの問題の悪用が可能です。

Debian 6Squeezeでは、この問題は fex バージョン 20100208+debian1-1+squeeze4 で修正されています。