Bulletin d'alerte Debian
DSA-051-1 netscape -- Exécution inattendue de javascript
- Date du rapport :
- 23 avril 2001
- Paquets concernés :
- netscape
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2001-0596.
- Plus de précisions :
-
Florian Wesch a découvert un problème (rapporté sur bugtraq) dans la manière
de Netscape pour gérer les commentaires dans les fichiers GIF. Le navigateur
Netscape n'échappe les commentaires de fichier GIF dans la page d'information
de l'image. Ceci permet l'exécution de javascript dans le protocole
« about: » et peut par exemple être utilisé pour télécharger en
amont l'historique (about:global) à un serveur web, en ouvrant une fuite
d'information privée. Ce problème a été corrigé dans Netscape 4.77
version originale.
Étant donné que nous n'avons pas reçu de code source pour ces paquets, ils ne font pas partie de la distribution Debian GNU/Linux mais il sont empaquetés comme des fichiers « .deb » pour une installation plus pratique.
Nous vous recommandons de mettre à jour vos paquets Netscape immédiatement et d'enlever les versions antérieures.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.tar.gz
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.dsc
- http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.diff.gz
- http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ja-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ko-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-zh-resource-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/navigator-nethelp-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-nethelp-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-spellchk-477_4.77-2_all.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/navigator_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/communicator_4.77-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/netscape-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-base-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-smotif-477_4.77-2_i386.deb
- http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.