Aviso de seguridad de Debian
DSA-051-1 netscape -- ejecución de javascript inesperada
- Fecha del informe:
- 23 de abr de 2001
- Paquetes afectados:
- netscape
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0596.
- Información adicional:
-
Florian Wesch ha descubierto un problema (informado a bugtraq) con la manera
en que Netscape maneja los comentarios de los archivos GIF. El navegador
Netscape no escapa los comentarios de los archivos GIF en la página de
información de la imagen. Esto permite la ejecución de javascript en el
protocolo "about:" y puede, por ejemplo, ser usado para subir la Historia
(about:global) a un servidor web, debilitando la información privada. Este
problema ha sido arreglado en la nueva versión de Netscape 4.77.
Debido a que no hemos recibido el código fuente de estos paquetes, no son parte de la distribución GNU/Linux, pero están empaquetados como archivos `.deb' para una instalación conveniente.
Le recomendamos que actualice sus paquetes de Netscape inmediatamente y borrar las versiones antiguas.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.tar.gz
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.dsc
- http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.diff.gz
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ja-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ko-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-zh-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/navigator-nethelp-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-nethelp-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-spellchk-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/navigator_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/communicator_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/netscape-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.