Информация по безопасности / 2012 / Информация о безопасности -- DSA-2414-2 fex

Рекомендация Debian по безопасности

DSA-2414-2 fex -- недостаточная очистка ввода

Дата сообщения:

25.02.2012

Затронутые пакеты:

fex

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-0869.

Более подробная информация:

Никола Фиораванти обнаружил, что F*X, веб-служба для передачи очень больших файлов, неправильно выполняет очистку вводных параметров сценария fup. Злоумышленник может использовать данную уязвимость для выполнения отражённых атак по принципу межсайтового скриптинга при помощи различных параметров данного сценария.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 20100208+debian1-1+squeeze3.

В тестируемом выпуске (wheezy) эта проблему будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 20120215-1.

Рекомендуется обновить пакеты fex.