Debian-Sicherheitsankündigung

DSA-051-1 netscape -- Unerwartete Ausführung von Javascript

Datum des Berichts:

23. Apr 2001

Betroffene Pakete:

netscape

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2001-0596.

Weitere Informationen:

Florian Wesch hat ein Problem in der Art und Weise herausgefunden (auf bugtraq berichtet), wie Netscape Kommentare in GIF-Dateien behandelt Der Browser schützt die Kommentare in GIF-Dateien nicht auf der Seite mit Bild-Informationen. Dadurch ist die unerwartete Ausführung von Javascript in Verbindung mit dem "about:"-Protokoll möglich und kann beispielsweise dazu benutzt werden, die Geschichte (about:global) auf einen Webserver zu laden, und somit private Informationen entweichen zu lassen. Das Problem wurde von den Herstellern in Netscape 4.77 behoben.

Da wir keinen Quellcode für diese Pakete erhalten haben, sind sie kein Teil von Debian GNU/Linux, sind jedoch für eine einfache Installation als `.deb'-Datei paketiert.

Wir empfehlen, dass Sie Ihre Netscape-Pakete umgehend aktualisieren und ältere Versionen löschen.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.tar.gz; http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc; http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.dsc; http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.diff.gz
Architektur-unabhängige Dateien:: http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ja-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ko-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-zh-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/navigator-nethelp-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-nethelp-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-spellchk-477_4.77-2_all.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/navigator_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/communicator_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-smotif-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/netscape-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-smotif-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-smotif-477_4.77-2_i386.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.