• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-251-1 w3m -- missing HTML quoting

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
w3m (any) w3m-img (any) w3m-ssl (any)
Описание
Хиронори Сакамото (Hiromori Sakamoto), один из разработчиков w3m,
обнаружил две уязвимости в w3m и связанных программах. Браузер w3m
не экранирует правильно теги HTML в содержимом фрейма и атрибутах
alt img. Злонамеренный фрейм HTML или атрибут alt img может обмануть
пользователя, предложив отправить на другую машину локальные файлы
cookie, используемые в конфигурации. Хотя автоматически информация
не утекает.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.3-2.4.
Старый стабильный дистрибутив (potato) не затронут этими
проблемами.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версиях 0.3.2.2-1 и более поздних.
Мы рекомендуем вам обновить пакеты w3m и w3m-ssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
s390x:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
m68k:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
i686:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
hppa:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
sparc:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
alpha:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
mips:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
mipsel:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
arm:
w3m - 0.3-2.4
w3m-img - 0.3-2.4
w3m-ssl - 0.3-2.4
Ссылки
http://www.debian.org/security/dsa-251/

Источник: CVE
Наименование: CVE-2002-1335
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1335

Источник: CVE
Наименование: CVE-2002-1348
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1348