Debianin tietoturvatiedote

DSA-294-1 gkrellm-newsticker -- puuttuva siteeraus, epätäydellinen jäsentelijä

Ilmoitettu:

23. 4.2003

Vaikutuksen alaiset paketit:

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7414.
Mitren CVE-sanakirjassa: CVE-2003-0205, CVE-2003-0206.

Lisätietoa:

Brian Campbell havaitsi gkrellm-newstickerissä, gkrellm-järjestelmänvalvontaohjelman liitännäisessä joka tuottaa uutisotsikoita RDF-syötteistä, kaksi tietoturvaan liittyvää ongelmaa. The Common Vulnerabilities and Exposures -projekti tunnisti seuraavat ongelmat:

CAN-2003-0205: Ohjelma pystyy uutisotsikkoa klikattaessa käynnistämään käyttäjän määrittelemän www-selaimen käyttäen syötteen sisältämää URI:a. Komentotulkin erikoismerkkejä ei kuitenkaan siteerata kunnollisesti jolloin asiakaskoneella on mahdollista suorittaa mielivaltaisia komentotulkkikomentoja pahantahtoisen syötteen kautta.
CAN-2003-0206: Syötteet, joissa linkin tai otsikon elementit eivät ole kokonaan yhdellä rivillä, pystyvät kaatamaan koko gkrellm-järjestelmän. Pahantahtoinen palvelin pystyy näin tuottamaan palveluneston.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 0.3-3.1 .

Aiempi vakaa jakelu (potato) ei ole altis näille ongelmille, sillä se ei sisällä gkrellm-newsticker-pakettia.

Korjauksia epävakaalle jakelulle (sid) ei ole vielä tehty.

Suosittelemme päivittämään gkrellm-newsticker-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.dsc; http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1.diff.gz; http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/gkrellm-newsticker/gkrellm-newsticker_0.3-3.1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.