Debianin tietoturvatiedote
DSA-294-1 gkrellm-newsticker -- puuttuva siteeraus, epätäydellinen jäsentelijä
- Ilmoitettu:
- 23. 4.2003
- Vaikutuksen alaiset paketit:
- gkrellm-newsticker
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7414.
Mitren CVE-sanakirjassa: CVE-2003-0205, CVE-2003-0206. - Lisätietoa:
-
Brian Campbell havaitsi gkrellm-newstickerissä, gkrellm-järjestelmänvalvontaohjelman liitännäisessä joka tuottaa uutisotsikoita RDF-syötteistä, kaksi tietoturvaan liittyvää ongelmaa. The Common Vulnerabilities and Exposures -projekti tunnisti seuraavat ongelmat:
- CAN-2003-0205
- Ohjelma pystyy uutisotsikkoa klikattaessa käynnistämään käyttäjän määrittelemän www-selaimen käyttäen syötteen sisältämää URI:a. Komentotulkin erikoismerkkejä ei kuitenkaan siteerata kunnollisesti jolloin asiakaskoneella on mahdollista suorittaa mielivaltaisia komentotulkkikomentoja pahantahtoisen syötteen kautta.
- CAN-2003-0206
- Syötteet, joissa linkin tai otsikon elementit eivät ole kokonaan yhdellä rivillä, pystyvät kaatamaan koko gkrellm-järjestelmän. Pahantahtoinen palvelin pystyy näin tuottamaan palveluneston.
Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3-3.1 .
Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille, sillä se ei sisällä gkrellm-newsticker-pakettia.
Korjauksia epävakaalle jakelulle (sid) ei ole vielä tehty.
Suosittelemme päivittämään gkrellm-newsticker-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.