Рекомендация Debian по безопасности

DSA-1486-1 gnatsweb -- межсайтовый скриптинг

Дата сообщения:
04.02.2008
Затронутые пакеты:
gnatsweb
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 427156.
В каталоге Mitre CVE: CVE-2007-2808.
Более подробная информация:

r0t обнаружил, что gnatsweb, веб-интерфейс для GNU GNATS, неправильно очищает параметр базы данных в главном CGI-сценарии. Эта уязвимость позволяет вводить произвольный код на HTML или JavaScript.

В стабильном выпуске (etch) эта проблема была исправлена в версии 4.00-1etch1.

Рекомендуется обновить пакет gnatsweb.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.dsc
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/g/gnatsweb/gnatsweb_4.00-1etch1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.