Рекомендация Debian по безопасности

netscape navigator/communicator -- удалённая уязвимость

Дата сообщения:

01.09.2000

Затронутые пакеты:

navigator, communicator

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Существующие пакеты Netscape Communicator/Navigator содержат следующие уязвимости:

Уязвимость, при которой Netscape Communicator выполняет перезапись содержимого динамической памяти из-за коментария в файле JPEG
- выполняет произвольный код в поле комментария изображения JPEG
- уязвимы Netscape Communicator/Navigator версий с 4.0 по 4.73
Уязвимость с прослушкой сокета несколькими виртуальными машинами Java
Уязвимость чтения URL в Netscape Communicator
- пункты 2 и 3 вместе известны как уязвимость "Brown Orifice"
- может использоваться для раскрытия содержимого вашего компьютера любому пользователю Интернет, что позволяет считывать файлы, видимые пользователю, запустившему браузер
- уязвимы Netscape Communicator/Navigator версий с 4.0 по 4.74

Пользователям, использующим Netscape Communicator/Navigator, рекомендуется выполнить обновление до версии 4.75. Новые пакет доступны в виде исходного кода и для машин Intel ia32 для выпуска Debian 2.2 (potato). Заметьте, что установка новых пакетов не приведёт к удалению существующих пакетов Communicator/Navigator; вам следует удалить предыдущие версии Communicator/Navigator вручную.

Для удаления пакетов netscape можно использовать несколько способов. Это можно сделать быстро, запустив "apt-get remove netscape-base-473", заменив предварительно 473 на 406, 407, 408, 45, 451, 46, 461, 47 или 472. Если у вас нет apt-get, вы можете запустить "dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473", опять же заменив предварительно версию на ту, что установлена у вас. Также можно удалить пакеты через dselect.

Если у вас имеется строка "deb http://security.debian.org/ potato/updates main contrib non-free" в файле /etc/apt/sources.list, то вы можете выполнить "apt-get update ; apt-get install communicator" для установки полного пакета communicator (включая почтовый клиент и клиент новостей), либо "apt-get update ; apt-get install navigator" для установки одного браузера. Обычная ручная установка включает в себя пакеты communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4 и netscape-java-475.

Исправлено в:

Исходный код:: http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc; http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz
Intel ia32:: http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb; http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb