Beveiligingsinformatie / 2000 / Informatie over beveiliging -- netscape navigator/communicator

Debian beveiligingsbericht

netscape navigator/communicator -- inbraakgevoelig

Datum van melding:

1 sep 2000

Betrokken pakketten:

navigator, communicator

Kwetsbaar:

Ja

Referenties naar beveiligingsdatabases:

Geen andere referenties naar externe beveiligingsdatabases beschikbaar.

Aanvullende informatie:

Huidige Netscape Navigator en Communicator pakketten bevatten de volgende kwetsbaarheden:

1. Netscape Communicator JPEG commentaarregel kan misbruikt worden
   • willekeurige opdrachten in deze regel worden uitgevoerd
   • Netscape Communicator/Navigator versies 4.0 tot en met 4.73 zijn kwetsbaar
2. Meerdere Java Virtual Machine hebben een fout in het luisteren naar sockets
3. Netscape Communicator "Brown Orifice" kwetsbaarheid
   • combinatie van 2 en 3 staat bekend als de "Brown Orifice" kwetsbaarheid
   • kan misbruikt worden om de inhoud van uw harde schijf aan iedereen op het internet te laten zien die leesbaar zijn voor de gebruiker die Netscape dan gebruikt.
   • Netscape Communicator/Navigator versies 4.0 tot en met 4.74 zijn kwetsbaar

We raden aan dat gebruikers van Netscape Communicator/Navigator hun versie vervangen door versie 4.75. De nieuwe pakketten zijn beschikbaar als broncode en als gecompileerde pakketten voor de Intel ia32 die Debian 2.2 (potato) gebruiken. Merk op dat de pakketten oude Netscape en Communicator pakketten niet verwijderen; u zult zelf oude installaties van Communicator/Navigator moet verwijderen.

Er zijn verschillende manieren om oude netscape pakketten te verwijderen. Een snelle manier is het commando "apt-get remove netscape-base-473" waarbij 473 vervangen kan worden door 406, 407, 408, 45, 451, 46, 461, 47 of 472 voor andere versienummers. Als u geen apt-get beschikbaar heeft, kunt u het commando "dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473" gebruiken, waarbij opnieuw het versienummer aangepast kan worden. Een derde optie is de pakketten te verwijderen met het programma dselect.

Als u als apt-get source heeft opgegeven "deb http://security.debian.org/ potato/updates main contrib non-free" in /etc/apt/sources.list kunt u ook gebruiken "apt-get update; apt-get install communicator" om de volledige communicator omgeving (incluisief mail en nieuws) installeren of "apt-get update ; apt-get install navigator" voor alleen de webbrowser. Een typische installatie bevat communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4 en netscape-java-475.

Opgelost in:

Bron:

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz

Intel ia32:

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb