Debianin tietoturvatiedote

DSA-250-1 w3mmee-ssl -- puuttuva HTML-koodin siteeraus

Ilmoitettu:
12. 2.2003
Vaikutuksen alaiset paketit:
w3mmee-ssl
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2002-1335, CVE-2002-1348.
Lisätietoa:

Hironori Sakamoto, yksi w3m:än kehittäjistä, löysi kaksi tietoturvahaavoittuvuutta w3m:ästä ja siihen liittyvistä ohjelmista. w3m-selain ei poista kunnollisesti HTML-tageja kehyksen sisällöstä ja img alt-attribuuteista. Pahantahtoinen HTML-kehys tai img alt-attribuuutti voi harhauttaa käyttäjän lähettämään paikalliset konfigurointiin käytetyt evästeensä. Tietojen vuotaminen ei tapahdu kuitenkaan automaattisesti.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3.p23.3-1.5 . Huomaa että päivitys sisältää myös tärkeän korjauksen, jonka ansiosta ohjelma toimii jälleen powerpc-alustalla.

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille.

Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 0.3.p24.17-3 ja myöhemmät.

Suosittelemme päivittämään w3mmee-ssl-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5.dsc
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5.diff.gz
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/w/w3mmee-ssl/w3mmee-ssl_0.3.p23.3-1.5_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.