Säkerhetsbulletin från Debian

DSA-1951-1 firefox-sage -- otillräcklig städning av indata

Rapporterat den:

2009-12-15

Berörda paket:

firefox-sage

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 559267.
I Mitres CVE-förteckning: CVE-2009-4102.

Ytterligare information:

Det upptäcktes att firefox-sage, en lättviktsläsare av RSS- och Atomflöden för Firefox, inte städar RSS-flödesinformationen correctly, which makes it prone to a cross-site scripting and a korrekt, vilket gör den sårbar för serveröverskridande skriptangrepp och ett domänöverskridande skriptangrepp.

För den gamla stabila utgåvan (Etch) har detta problem rättats i version 1.3.6-4etch1.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.4.2-0.1+lenny1.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har detta problem rättats i version 1.4.3-3.

Vi rekommenderar att ni uppgraderar era firefox-sage-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1.dsc; http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6.orig.tar.gz; http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1_all.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1.diff.gz; http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2.orig.tar.gz; http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1.dsc
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.