Säkerhetsbulletin från Debian
DSA-2414-2 fex -- otillräcklig rengöring av indata
- Rapporterat den:
- 2012-02-25
- Berörda paket:
- fex
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-0869.
- Ytterligare information:
-
Nicola Fioravanti upptäckte att F*X, en webbtjänst för överföring av väldigt stora filer, inte tillräckligt rengör indataparametrar från
fup
-skriptet. En angripare kan använda denna brist för att utföra reflekterade sajtöverskridande skriptangrepp via olika skriptparametrar.För den stabila utgåvan (Squeeze) har detta problem rättats i version 20100208+debian1-1+squeeze3.
För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort
För den instabila utgåvan (Sid) har detta problem rättats i version 20120215-1.
Vi rekommenderar att ni uppgraderar era fex-paket.