Информация по безопасности / 2011 / Информация о безопасности -- DSA-2335-1 man2html

Рекомендация Debian по безопасности

DSA-2335-1 man2html -- отсутствие очистки ввода

Дата сообщения:

05.11.2011

Затронутые пакеты:

man2html

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-2770.

Более подробная информация:

Тим Старлинг обнаружил, что родная для Debian CGI-обёртка для man2html, программы для преобразования страниц руководства UNIX в формат HTML, неправильно экранирует передаваемые пользователем вводные данные при отображении различных сообщений об ошибках. Удалённый злоумышленник может использовать данную уязвимость для выполнения межсайтового скриптинга (XSS).

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.6f-3+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.6f+repack-1+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1.6g-6.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6g-6.

Рекомендуется обновить пакеты man2html.