Debianin tietoturvatiedote

DSA-251-1 w3m -- puuttuva HTML-koodin siteeraus

Ilmoitettu:

14. 2.2003

Vaikutuksen alaiset paketit:

w3m, w3m-ssl

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Mitren CVE-sanakirjassa: CVE-2002-1335, CVE-2002-1348.

Lisätietoa:

Hironori Sakamoto, yksi w3m:än kehittäjistä, löysi kaksi tietoturvahaavoittuvuutta w3m:ästä ja siihen liittyvistä ohjelmista. w3m-selain ei poista kunnollisesti HTML-tageja kehyksen sisällöstä ja img alt-attribuuteista. Pahantahtoinen HTML-kehys tai img alt-attribuuutti voi harhauttaa käyttäjän lähettämään paikalliset konfigurointiin käytetyt evästeensä. Tietojen vuotaminen ei tapahdu kuitenkaan automaattisesti.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3-2.4 .

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille.

Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 0.3.2.2-1 ja myöhemmät.

Suosittelemme päivittämään w3m- ja w3m-ssl-paketit.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4.dsc; http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4.diff.gz; http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3.orig.tar.gz; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4.dsc; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4.diff.gz; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_alpha.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_alpha.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_arm.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_arm.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_i386.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_i386.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_i386.deb
HPPA:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_hppa.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_hppa.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_m68k.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_m68k.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_mips.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_mips.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_mipsel.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_powerpc.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_s390.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_s390.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/w/w3m/w3m_0.3-2.4_sparc.deb; http://security.debian.org/pool/updates/main/w/w3m/w3m-img_0.3-2.4_sparc.deb; http://security.debian.org/pool/updates/main/w/w3m-ssl/w3m-ssl_0.3-2.4_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.