Säkerhetsbulletin från Debian
DSA-2335-1 man2html -- saknad rengörning av indata
- Rapporterat den:
- 2011-11-05
- Berörda paket:
- man2html
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-2770.
- Ytterligare information:
-
Tim Starling upptäckte att den Debian-hemmahörande CGI-wrappern för man2html, ett program för att konvertera UNIX-manualsidor till HTML, inte avslutar användartillhandahållen indata ordenligt när den visar olika felmeddelanden. En fjärrangripare kan exploatera denna brist för att utföra sajtöverskridande skriptangrepp (XSS).
För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.6f-3+lenny1.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.6f+repack-1+squeeze1.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 1.6g-6.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.6g-6.
Vi rekommenderar att ni uppgraderar era man2html-paket.