Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
gkrellm-newsticker
(any)
Описание
Брайен Кэмпбелл (Brian Campbell) обнаружил две связанные с
безопасностью проблемы в gkrellm-newsticker, плагине для программы
мониторинга системы gkrellm, предоставляющий ленту новостей для
RDF. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:
CAN-2003-0205
Программа может запустить выбранный пользователем web-браузер при
щелчке по заголовку ленты, используя URI, предоставленный RDF.
Тем не менее, специальные символы оболочки не экранируются правильно,
позволяя злонамеренному файлу RDF выполнить произвольные команды
оболочки на машине клиента.
CAN-2003-0206
Программа обрушивает всю систему gkrellm при обработке RDF, где
ссылка или заголовок занимают более одной строки. Злонамеренный
сервер может таким образом вызвать отказ в обслуживании.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.3-3.1.
Старый стабильный дистрибутив (potato) не затронут, поскольку он
не содержит пакетов gkrellm-newsticker.
В нестабильном дистрибутиве (sid) эти проблемы пока не исправлены.
Мы рекомендуем вам обновить пакет gkrellm-newsticker.
безопасностью проблемы в gkrellm-newsticker, плагине для программы
мониторинга системы gkrellm, предоставляющий ленту новостей для
RDF. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:
CAN-2003-0205
Программа может запустить выбранный пользователем web-браузер при
щелчке по заголовку ленты, используя URI, предоставленный RDF.
Тем не менее, специальные символы оболочки не экранируются правильно,
позволяя злонамеренному файлу RDF выполнить произвольные команды
оболочки на машине клиента.
CAN-2003-0206
Программа обрушивает всю систему gkrellm при обработке RDF, где
ссылка или заголовок занимают более одной строки. Злонамеренный
сервер может таким образом вызвать отказ в обслуживании.
В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.3-3.1.
Старый стабильный дистрибутив (potato) не затронут, поскольку он
не содержит пакетов gkrellm-newsticker.
В нестабильном дистрибутиве (sid) эти проблемы пока не исправлены.
Мы рекомендуем вам обновить пакет gkrellm-newsticker.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
gkrellm-newsticker - 0.3-3.1
s390x:
gkrellm-newsticker - 0.3-3.1
m68k:
gkrellm-newsticker - 0.3-3.1
i686:
gkrellm-newsticker - 0.3-3.1
hppa:
gkrellm-newsticker - 0.3-3.1
sparc:
gkrellm-newsticker - 0.3-3.1
alpha:
gkrellm-newsticker - 0.3-3.1
ia64:
gkrellm-newsticker - 0.3-3.1
mips:
gkrellm-newsticker - 0.3-3.1
mipsel:
gkrellm-newsticker - 0.3-3.1
arm:
gkrellm-newsticker - 0.3-3.1
Debian GNU/Linux 3.0:
ppc:
gkrellm-newsticker - 0.3-3.1
s390x:
gkrellm-newsticker - 0.3-3.1
m68k:
gkrellm-newsticker - 0.3-3.1
i686:
gkrellm-newsticker - 0.3-3.1
hppa:
gkrellm-newsticker - 0.3-3.1
sparc:
gkrellm-newsticker - 0.3-3.1
alpha:
gkrellm-newsticker - 0.3-3.1
ia64:
gkrellm-newsticker - 0.3-3.1
mips:
gkrellm-newsticker - 0.3-3.1
mipsel:
gkrellm-newsticker - 0.3-3.1
arm:
gkrellm-newsticker - 0.3-3.1
Ссылки
http://www.debian.org/security/dsa-294/
Источник: CVE
Наименование: CVE-2003-0206
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0206
Источник: CVE
Наименование: CVE-2003-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0205
Источник: CVE
Наименование: CVE-2003-0206
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0206
Источник: CVE
Наименование: CVE-2003-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0205