Рекомендация Debian по безопасности

DSA-051-1 netscape -- неожиданное выполнение кода javascript

Дата сообщения:

23.04.2001

Затронутые пакеты:

netscape

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2001-0596.

Более подробная информация:

Флориан Веш обнаружил проблему (о проблеме сообщено в bugtraq) с тем, как Netscape обрабатывает комментарии в файлах GIF. Браузер Netscape не экранирует комментарии в файлах GIF на странице информации об изображении. Это позволяет выполнять код javascript в рамках протокола "about:" и может, например, использоваться для загрузки истории (about:global) на веб-сервер, раскрывая, таким образом, частную информацию. Эта проблема была исправлена в основной ветке разработки в Netscape 4.77.

Поскольку мы не получили исходного кода для данных пакетов, они не являются частью дистрибутива Debian GNU/Linux, а являются лишь файлами `.deb' для удобной установки.

Рекомендуется как можно скорее обновить пакеты Netscape и удалить более старые версии.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.tar.gz; http://security.debian.org/dists/stable/updates/contrib/source/netscape4.base_4.77-1.dsc; http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.dsc; http://security.debian.org/dists/stable/updates/main/source/netscape4.77_4.77-2.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ja-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-java-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-ko-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/netscape-zh-resource-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/navigator-nethelp-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-nethelp-477_4.77-2_all.deb; http://security.debian.org/dists/stable/updates/non-free/binary-all/communicator-spellchk-477_4.77-2_all.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4-libc5_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/netscape-base-4_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/navigator_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/contrib/binary-i386/communicator_4.77-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/netscape-smotif-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/netscape-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/navigator-smotif-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-base-477_4.77-2_i386.deb; http://security.debian.org/dists/stable/updates/non-free/binary-i386/communicator-smotif-477_4.77-2_i386.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.