• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-294-1 gkrellm-newsticker -- missing quoting, incomplete parser

Главная Специалистам База уязвимостей DSA-294-1 gkrellm-newsticker -- missing quoting, incomplete parser

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Брайен Кэмпбелл (Brian Campbell) обнаружил две связанные с
безопасностью проблемы в gkrellm-newsticker, плагине для программы
мониторинга системы gkrellm, предоставляющий ленту новостей для
RDF. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:

CAN-2003-0205

  Программа может запустить выбранный пользователем web-браузер при
  щелчке по заголовку ленты, используя URI, предоставленный RDF.
  Тем не менее, специальные символы оболочки не экранируются правильно,
  позволяя злонамеренному файлу RDF выполнить произвольные команды
  оболочки на машине клиента.
CAN-2003-0206

  Программа обрушивает всю систему gkrellm при обработке RDF, где
  ссылка или заголовок занимают более одной строки. Злонамеренный
  сервер может таким образом вызвать отказ в обслуживании.

В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.3-3.1.
Старый стабильный дистрибутив (potato) не затронут, поскольку он
не содержит пакетов gkrellm-newsticker.
В нестабильном дистрибутиве (sid) эти проблемы пока не исправлены.
Мы рекомендуем вам обновить пакет gkrellm-newsticker.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
gkrellm-newsticker - 0.3-3.1
s390x:
gkrellm-newsticker - 0.3-3.1
m68k:
gkrellm-newsticker - 0.3-3.1
i686:
gkrellm-newsticker - 0.3-3.1
hppa:
gkrellm-newsticker - 0.3-3.1
sparc:
gkrellm-newsticker - 0.3-3.1
alpha:
gkrellm-newsticker - 0.3-3.1
ia64:
gkrellm-newsticker - 0.3-3.1
mips:
gkrellm-newsticker - 0.3-3.1
mipsel:
gkrellm-newsticker - 0.3-3.1
arm:
gkrellm-newsticker - 0.3-3.1
Ссылки
http://www.debian.org/security/dsa-294/

Источник: CVE
Наименование: CVE-2003-0206
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0206

Источник: CVE
Наименование: CVE-2003-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0205