Debianin tietoturvatiedote

DSA-294-1 gkrellm-newsticker -- puuttuva siteeraus, epätäydellinen jäsentelijä

Ilmoitettu:
23. 4.2003
Vaikutuksen alaiset paketit:
gkrellm-newsticker
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7414.
Mitren CVE-sanakirjassa: CVE-2003-0205, CVE-2003-0206.
Lisätietoa:

Brian Campbell havaitsi gkrellm-newstickerissä, gkrellm-järjestelmänvalvontaohjelman liitännäisessä joka tuottaa uutisotsikoita RDF-syötteistä, kaksi tietoturvaan liittyvää ongelmaa. The Common Vulnerabilities and Exposures -projekti tunnisti seuraavat ongelmat:

CAN-2003-0205
Ohjelma pystyy uutisotsikkoa klikattaessa käynnistämään käyttäjän määrittelemän www-selaimen käyttäen syötteen sisältämää URI:a. Komentotulkin erikoismerkkejä ei kuitenkaan siteerata kunnollisesti jolloin asiakaskoneella on mahdollista suorittaa mielivaltaisia komentotulkkikomentoja pahantahtoisen syötteen kautta.
CAN-2003-0206
Syötteet, joissa linkin tai otsikon elementit eivät ole kokonaan yhdellä rivillä, pystyvät kaatamaan koko gkrellm-järjestelmän. Pahantahtoinen palvelin pystyy näin tuottamaan palveluneston.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3-3.1 .

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille, sillä se ei sisällä gkrellm-newsticker-pakettia.

Korjauksia epävakaalle jakelulle (sid) ei ole vielä tehty.

Suosittelemme päivittämään gkrellm-newsticker-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.