Рекомендация Debian по безопасности

DLA-68-1 fex -- обновление безопасности LTS

Дата сообщения:
30.09.2014
Затронутые пакеты:
fex
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3875, CVE-2014-3876, CVE-2014-3877.
Более подробная информация:
  • [CVE-2014-3875]

    При вставке закодированных символов новой строки в запрос к rup, в ответ могут быть вставлены дополнительные заголовки HTTP, а также новый код HTML в верхней части веб-сайта.

  • [CVE-2014-3876]

    Параметр akey отражается нефильтрованным образом как часть страницы HTML. Некоторые символы запрещено использовать в параметре GET из-за фильтрации URL, но это ограничение можно обойти путём использования параметра POST. Тем не менее, данная проблема может использоваться только через параметр GET и требует взаимодействия с пользователем.

  • [CVE-2014-3877]

    Параметр addto отражается пользователю только в слегка фильтрованном виде как часть страницы HTML. Некоторые символы запрещено использовать в параметре GET из-за фильтрации URL, но это ограничение можно обойти путём использования параметра POST. Тем не менее, данная уязвимость может использоваться только через параметр GET и требует взаимодействия с пользователем.

В Debian 6 Squeeze эти проблемы были исправлены в пакете fex версии 20100208+debian1-1+squeeze4