Рекомендация Debian по безопасности

DSA-711-1 info2www -- отсутствие очистки ввода

Дата сообщения:
19.04.2005
Затронутые пакеты:
info2www
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 281655.
В каталоге Mitre CVE: CVE-2004-1341.
Более подробная информация:

Николас Грегори обнаружил межсайтовый скриптинг в info2www, программе для преобразования файлов info в HTML. Злоумышленник может поместить безобидно выглядящую ссылку на страницу, что приведёт к выполнению произвольных команд в браузере жертвы.

В стабильном выпуске (woody) эта проблема была исправлена в версии 1.2.2.9-20woody1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.2.2.9-23.

Рекомендуется обновить пакет info2www.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1.dsc
http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1.diff.gz
http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/i/info2www/info2www_1.2.2.9-20woody1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.