blob: 4563e66f0aaef751c4011301d8da1362f9f64ea6 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
<define-tag description>Site-übergreifendes Skripting</define-tag>
<define-tag moreinfo>
<p>Von einer Site-übergreifenden Skripting-Verwundbarkeit für Bugzilla wurde
berichtet, einer web-basierten Fehlerdatenbank. Bugzilla prüfte keinerlei
Eingaben eines Benutzers für die Verwendung in quips auf Sinnhaftigkeit. Als
Ergebnis ist es einem
entfernten Angreifer möglich, einen böswilligen Link zu erstellen, der
Skript-Code enthält, der im Browser eines befugten Benutzers ausgeführt wird,
im Kontext der Website, auf der Bugzilla läuft. Dieses Problem könnte
ausgenutzt werden, um cookie-basierende Authentifizierungs-Bescheinigungen von
befugten Benutzern der Website zu stehlen, die die verwundbare Software
verwendet.</p>
<p>Diese Verwundbarkeit betrifft nur Benutzer, die die 'quips'-Fähigkeit
aktiviert haben und die von Version 2.10 aktualisieren, die nicht in Debian
existiert. Die Debian-Paket-Geschichte von Bugzilla beginnt mit 1.13 und
sprang auf 2.13. Jedoch könnten Benutzer Version 2.10 vor dem Debian-Paket
installiert haben.</p>
<p>Für die aktuelle stable Distribution (Woody) wurde dieses Problem in
Version 2.14.2-0woody3 behoben.</p>
<p>Die alte stable Distribution (Potato) enthält kein Bugzilla-Paket.</p>
<p>Für die unstable Distribution (Sid) wird dieses Problem bald behoben
sein.</p>
<p>Wir empfehlen Ihnen, Ihre bugzilla-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-218.data"
#use wml::debian::translation-check translation="bac0e67f421554edea5609a46fb7d115efbe5707"
# $Id$
|
