Рекомендация Debian по безопасности

DSA-109-1 faqomatic -- межсайтовый скриптинг

Дата сообщения:
13.02.2002
Затронутые пакеты:
faqomatic
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2002-0230.
Более подробная информация:

Из-за неэкранируемого кода на HTML Faq-O-Matic возвращает браузеру непроверенные сценарии. Небольшая доработка этой уязвимости позволяет злоумышленнику похищать куки одного из модераторов Faq-O-Matic или администратора.

Межсайтовый скриптинг представляет собой такой тип проблемы, которая позволяет злоумышленнику сделать так, чтобы другой пользователь запустил некоторый сценарий на JavaScript в своём браузере. Код на JavaScript выполняется на машине жертвы и в контексте веб-сайта, на котором запущен менеджер часто задаваемых вопросов Faq-O-Matic.

Эта проблема была исправлена в версии 2.603-1.2 для стабильного выпуска Debian и в версии 2.712-2 для текущего тестируемого/нестабильного выпуска.

Рекомендуется обновить пакет faqomatic в том случае, если он у вас установлен.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603-1.2.dsc
http://security.debian.org/dists/stable/updates/main/source/faqomatic_2.603.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/dists/stable/updates/main/binary-all/faqomatic_2.603-1.2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.