Рекомендация Debian по безопасности
DSA-2092-1 lxr-cvs -- отсутствие очистки ввода
- Дата сообщения:
- 17.08.2010
- Затронутые пакеты:
- lxr-cvs
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 588137, Ошибка 585412, Ошибка 588036, Ошибка 575745.
В каталоге Mitre CVE: CVE-2010-1625, CVE-2010-1738, CVE-2010-1448, CVE-2009-4497. - Более подробная информация:
-
Дэн Розенберг обнаружил, что lxr-cvs, инструмент для индексации кода с веб-интерфейсом, недостаточно очищает пользовательский ввода; злоумышленник может использовать эту ошибку и передать код сценария для выполнения атак по принципу межсайтового скриптинга.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 0.9.5+cvs20071020-1+lenny1.
В тестируемом выпуске (sid) эта проблема была исправлена в версии 0.9.5+cvs20071020-1.1.
Рекомендуется обновить пакеты lxr-cvs.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/l/lxr-cvs/lxr-cvs_0.9.5+cvs20071020-1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/l/lxr-cvs/lxr-cvs_0.9.5+cvs20071020.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/lxr-cvs/lxr-cvs_0.9.5+cvs20071020-1+lenny1.dsc
- http://security.debian.org/pool/updates/main/l/lxr-cvs/lxr-cvs_0.9.5+cvs20071020.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/l/lxr-cvs/lxr-cvs_0.9.5+cvs20071020-1+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.