Рекомендация Debian по безопасности

DLA-298-1 roundup -- обновление безопасности LTS

Дата сообщения:
23.08.2015
Затронутые пакеты:
roundup
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-6130, CVE-2012-6131, CVE-2012-6132, CVE-2012-6133.
Более подробная информация:
  • CVE-2012-6130

    Межсайтовый скриптинг (XSS) в отображении истории в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML с помощью имени пользователя, связанного с создаваемой ссылкой.

  • CVE-2012-6131

    Межсайтовый скриптинг (XSS) в cgi/client.py в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML с помощью параметра @action в support/issue1.

  • CVE-2012-6132

    Межсайтовый скриптинг (XSS) в Roundup до версии 1.4.20 позволяет удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML с помощью параметра otk.

  • CVE-2012-6133

    Уязвимости XSS в сообщениях ok и error. Указанные проблемы исправлены другим способом, не тем, который был предложен в сообщении об ошибке. Ошибки исправлены путём запрета *любых* html-тегов в сообщениях ok/error.