Debians sikkerhedsbulletin

DSA-169-1 htcheck -- "cross site"-udførelse af script

Rapporteret den:

25. sep 2002

Berørte pakker:

htcheck

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2002-1195.

Yderligere oplysninger:

Ulf Härnhammar har opdaget et problem i PHP-grænsefladen til ht://Check. PHP-grænsefladen viser ukontrollerede oplysninger som er opsamlet ved at "kravle" rundt på eksterne webservere. Dette kan føre til et "cross site"-udførelse af script-angreb, hvis nogen har kontrol over hvad der sendes tilbage fra en fjern-server som ht://Check "kravler" rundt på.

Dette problem er løst i version 1.1-1.1 i den aktuelle stabile distribution (woody) og i version 1.1-1.2 i den ustabile udgave (sid). Den gamle stabile udgave (potato) indeholder ikke pakken htcheck.

Vi anbefaler at du omgående opgraderer din htcheck-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1.dsc; http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1.diff.gz; http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck-php_1.1-1.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/h/htcheck/htcheck_1.1-1.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.