Debianin tietoturvatiedote

DSA-249-1 w3mmee -- puuttuva HTML-koodin siteeraus

Ilmoitettu:

11. 2.2003

Vaikutuksen alaiset paketit:

w3mmee

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Mitren CVE-sanakirjassa: CVE-2002-1335, CVE-2002-1348.

Lisätietoa:

Hironori Sakamoto, yksi w3m:än kehittäjistä, löysi kaksi tietoturvahaavoittuvuutta w3m:ästä ja siihen liittyvistä ohjelmista. w3m-selain ei poista kunnollisesti HTML-tageja kehyksen sisällöstä ja img alt-attribuuteista. Pahantahtoinen HTML-kehys tai img alt-attribuuutti voi harhauttaa käyttäjän lähettämään paikalliset konfigurointiin käytetyt evästeensä. Tietojen vuotaminen ei tapahdu kuitenkaan automaattisesti.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3.p23.3-1.5 . Huomaa että päivitys sisältää myös tärkeän korjauksen, jonka ansiosta ohjelma toimii jälleen powerpc-alustalla.

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille.

Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 0.3.p24.17-3 ja myöhemmät.

Suosittelemme päivittämään w3mmee-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5.dsc; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5.diff.gz; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_alpha.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_arm.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_i386.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_ia64.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_hppa.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_m68k.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_mips.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_mipsel.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_powerpc.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_s390.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_sparc.deb; http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.