Рекомендация Debian по безопасности

DSA-1554-2 roundup -- недостаточная очистка ввода

Дата сообщения:
22.04.2008
Затронутые пакеты:
roundup
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 472643.
В каталоге Mitre CVE: CVE-2008-1474.
Более подробная информация:

Roundup, система отслеживания проблем, неправильно экранирует ввод в формате HTML, что позволяет злоумышленнику ввести код на стороне клиента (обычно JavaScript) в документ, который может быть просмотрен в браузере жертвы.

В стабильном выпуске (etch) эта проблема была исправлена в версии 1.2.1-5+etch2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.3.3-3.1.

Рекомендуется обновить пакеты roundup.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-5+etch2.dsc
http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1.orig.tar.gz
http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-5+etch2.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/r/roundup/roundup_1.2.1-5+etch2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.