Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2510-1 extplorer

Debians sikkerhedsbulletin

DSA-2510-1 extplorer -- forespørgselsforfalskning på tværs af websteder

Rapporteret den:

12. jul 2012

Berørte pakker:

extplorer

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 678737.
I Mitres CVE-ordbog: CVE-2012-3362.

Yderligere oplysninger:

John Leitch opdagede en sårbarhed i eXtplorer, en meget omfattende rig webserverfilmanager, som kunne udnyttes af ondsindede personer til at udføre angreb i forbindelse med forespørgselsforfalkninger på tværs af websteder.

Sårbarheden gjorde det muligt for brugere at iværksætte visse handlinger via HTTP-forespørgsler, uden at udføre nogen form for valideringskontroller, for at verificere forespørgslen. Det kunne eksempelvis udnyttes til at oprette en administrativ brugerkonto, ved at narre en indlogget administrator til at besøge et angriber-defineret weblink.

I den stabile distribution (squeeze), er dette problem rettet i version 2.1.0b6+dfsg.2-1+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 2.1.0b6+dfsg.3-3.

I den ustabile distribution (sid), er dette problem rettet i version 2.1.0b6+dfsg.3-3.

Vi anbefaler at du opgraderer dine extplorer-pakker.