blob: 902c732329512c95ee026cad549c8bcb3146a78f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>missing quoting, incomplete parser</define-tag>
<define-tag moreinfo>
<p>Брайен Кэмпбелл (Brian Campbell) обнаружил две связанные с
безопасностью проблемы в gkrellm-newsticker, плагине для программы
мониторинга системы gkrellm, предоставляющий ленту новостей для
RDF. Проект Common Vulnerabilities and Exposures идентифицировал
следующие проблемы:</p>
<dl>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205">CAN-2003-0205</a></dt>
<dd>
Программа может запустить выбранный пользователем web-браузер при
щелчке по заголовку ленты, используя URI, предоставленный RDF.
Тем не менее, специальные символы оболочки не экранируются правильно,
позволяя злонамеренному файлу RDF выполнить произвольные команды
оболочки на машине клиента.</dd>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206">CAN-2003-0206</a></dt>
<dd>
Программа обрушивает всю систему gkrellm при обработке RDF, где
ссылка или заголовок занимают более одной строки. Злонамеренный
сервер может таким образом вызвать отказ в обслуживании.</dd>
</dl>
<p>В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.3-3.1.</p>
<p>Старый стабильный дистрибутив (potato) не затронут, поскольку он
не содержит пакетов gkrellm-newsticker.</p>
<p>В нестабильном дистрибутиве (sid) эти проблемы пока не исправлены.</p>
<p>Мы рекомендуем вам обновить пакет gkrellm-newsticker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-294.data"
|
