Säkerhetsinformation / 2000 / Säkerhetsinformation -- netscape navigator/communicator

Säkerhetsbulletin från Debian

netscape navigator/communicator -- sårbart för attack utifrån

Rapporterat den:

2000-09-01

Berörda paket:

navigator, communicator

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Nuvarande paket för Netscape Communicator/Navigator innehåller följande sårbarheter:

1. Överskrivning av "heap" via JPEG-kommentar i Netscape Communicator
   • exekverar valfri kod i JPEG-bildens kommentarsfält
   • Netscape Communicator/Navigator version 4.0 t o m 4.73 är sårbara
2. Avlyssning av uttag (socket) i flera företags virtuella Javamaskiner
3. Avlyssning via webbadresser i Netscape Communicator
   • post 2 och 3 är tillsammans kända som "Brown Orifice"
   • de kan utnyttjas för att exponera innehållet på din dator för vem som helst på Internet, med möjlighet att läsa alla filer synliga för den användare som kör webbläsaren
   • Netscape Communicator/Navigator version 4.0 t o m 4.74 är sårbara

Vi rekommenderar att användare som kör Netscape Communicator/Navigator uppgraderar till version 4.75. Nya paket finns tillgängliga i källform och för Intel ia32-maskiner som kör Debian 2.2 (potato). Notera att de nya paketen inte automatiskt tar bort dina existerande paket för Communicator/Navigator - du bör manuellt ta bort eventuella äldre installerade versioner av Communicator/Navigator.

Det finns flera sätt att ta bort netscape-paketen. Ett snabbt sätt att göra det på är att köra "apt-get remove netscape-base-473" (ersätt 473 med 406, 407, 408, 45, 451, 46, 461, 47 eller 472 om nödvändigt). Om du inte har apt-get kan du köra "dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473" (återigen ersätter du versionsnumret med det du har installerat). Du kan även ta bort paketen med dselect.

Om du har "deb http://security.debian.org/ potato/updates main contrib non-free" i din /etc/apt.sources.list kan du ge kommandot "apt-get update ; apt-get install communicator" för att installera det kompletta Communicator-paketet (inklusive e-post och diskussionsgruppsklient) eller "apt-get update ; apt-get install navigator" för enbart webbläsaren. En typisk manuell installation inbegriper communicator-smotif-475, communicator-base-475, netscape-base-475, netscape-base-4 och netscape-java-475.

Rättat i:

Källkod:

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.diff.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75-2.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.75_4.75.orig.tar.gz

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.dsc

http://security.debian.org/dists/potato/updates/non-free/source/netscape4.base_4.75-1.tar.gz

Intel ia32:

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator-spellchk-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/communicator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-nethelp-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/navigator_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4-libc5_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-base-4_4.75-1_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ja-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-java-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-ko-resource-475_4.75-2_all.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475-libc5_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-smotif-475_4.75-2_i386.deb

http://security.debian.org/dists/potato/updates/non-free/binary-i386/netscape-zh-resource-475_4.75-2_all.deb