[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:36265] [Translate] [SECURITY] [DSA 249-1] New w3mmee packages fix cookie information leak
かねこです。
URL 等は元記事を確認ください。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 249-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
February 11th, 2003 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : w3mmee
Vulnerability : HTML のクオート処理の抜け
Problem-Type : リモート
Debian-specific: いいえ
CVE Id : CAN-2002-1335 CAN-2002-1348
w3m の開発者の一人、坂本浩則さんにより、w3m と関連プログラムに合わせて二
つのセキュリティ脆弱性が発見されました。w3m ブラウザはフレーム要素と img
要素中の alt 属性値の HTML タグを正しくエスケープしていません。悪意を持っ
て作成された HTML のフレームまたは img 中の alt アトリビュートを用いたク
ロスサイトスクリプティング攻撃により、ユーザを騙して設定に使っているユー
ザのローカルクッキーを送らせることなどが可能です。但し、この情報は自動で
は (ユーザの介入無しにでは) 盗まれることはありません。
現安定版 (stable) woody では、これはバージョン 0.3.p23.3-1.5 で修正されて
います。また、この版には w3mmee を再度 PowerPC 環境で動くようにするための
重要なパッチが含まれています。
前安定版 (stable) potato にはこの脆弱性はありません。
不安定版 (unstable) sid では、これはバージョン 0.3.p24.17-3 で修正され
ています。
直ぐに w3mmee パッケージをアップグレードすることを勧めます。
インストール手順
----------------
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5.dsc
Size/MD5 checksum: 675 d14d0bdbae966177c68b3c4768669856
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5.diff.gz
Size/MD5 checksum: 10794 25fe90b7b65d921350c0cbf749bb6463
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3.orig.tar.gz
Size/MD5 checksum: 647067 4953803b51ff72205021114f6cf6149d
Alpha architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_alpha.deb
Size/MD5 checksum: 623454 c7240cfa6e9da670fa395fe390b31d0b
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_alpha.deb
Size/MD5 checksum: 64102 1d38145b8c27a2943bf6fc7c08ea0091
ARM architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_arm.deb
Size/MD5 checksum: 543150 8af838178d72f59ef6b398c579e7445c
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_arm.deb
Size/MD5 checksum: 61366 7982b97269924fdc3af12839380af069
Intel IA-32 architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_i386.deb
Size/MD5 checksum: 521574 3f177cd8f1861af383a4bad617b833d3
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_i386.deb
Size/MD5 checksum: 60816 f72bc5ead9f93e5c6f4c451ced0dff93
Intel IA-64 architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_ia64.deb
Size/MD5 checksum: 749928 324bc5c78acc896395fe7e1d4a5593c4
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_ia64.deb
Size/MD5 checksum: 66578 baf2c26446e3ca0319420c1304fd0e9c
HP Precision architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_hppa.deb
Size/MD5 checksum: 603192 43d20efd96405fdbbbb42d60e410a12f
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_hppa.deb
Size/MD5 checksum: 62446 657f3513cc4ee37043e85e62c9ddc760
Motorola 680x0 architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_m68k.deb
Size/MD5 checksum: 505846 afd6d22ecc9b7a3a0cbd5c68414179ed
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_m68k.deb
Size/MD5 checksum: 60420 c408393749cd105c7c2e14bc5e2abc01
Big endian MIPS architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_mips.deb
Size/MD5 checksum: 592042 8cdee63a4f084d4f9a0e1d918da4d0c2
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_mips.deb
Size/MD5 checksum: 61510 b5cd8f1afcd007196253daf55ed3854b
Little endian MIPS architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_mipsel.deb
Size/MD5 checksum: 591040 00a1cdaa9a718bd157b130aae039c07a
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_mipsel.deb
Size/MD5 checksum: 61550 b359ecbb2712152f65b646e506f6b37f
PowerPC architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_powerpc.deb
Size/MD5 checksum: 552778 29bef1fea5b1b8e2d2ca069074118cb6
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_powerpc.deb
Size/MD5 checksum: 61450 bc41fb08149188cfdb0dea7108c75ca4
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_s390.deb
Size/MD5 checksum: 546402 41d63ed5215db5556100ab9e873d5330
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_s390.deb
Size/MD5 checksum: 62112 784d70fbacd4e21d5e3f538a4eda00aa
Sun Sparc architecture:
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee_0.3.p23.3-1.5_sparc.deb
Size/MD5 checksum: 543198 b9cc501451f171c69964e646919bff25
http://security.debian.org/pool/updates/main/w/w3mmee/w3mmee-img_0.3.p23.3-1.5_sparc.deb
Size/MD5 checksum: 62136 7e5176a2103fd26cd864f0c8ebfacde8
これらのファイルは次の版の安定版リリース時そちらに移されます。
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693 7882 579A 3339 D6ED 97E8