blob: 3a637bd1386e79085e29720a8cb247c36886d387 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
<define-tag description>Fehlendes Quoting, unvollständiger Parser</define-tag>
<define-tag moreinfo>
<p>Brian Campbell entdeckte zwei sicherheitsrelevante Probleme in
gkrellm-newsticker, einem Plugin für das gkrellm System-Überwachungs-Programm,
das einen News-Ticker für RDF-Feeds bietet. Das Common Vulnerabilities and
Exposures Projekt identifiziert die folgenden Probleme:</p>
<dl>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205">CAN-2003-0205</a></dt>
<dd>
Es kann einen Web-Browser aufgrund von Benutzer-Einstellungen aufrufen, wenn
der Titel des Tickers angeklickt wird, indem die URI aus dem Feed aufgerufen
wird. Jedoch werden spezielle Shell-Zeichen nicht ordnungsgemäß entschärft,
was es einem böswilligen Feed erlaubt, willkürliche Shell-Befehle auf dem
Client-Rechner auszuführen.</dd>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206">CAN-2003-0206</a></dt>
<dd>
Es lässt das gesamte gkrellm-System bei Feeds abstürzen, in denen die Link-
oder Titel-Elemente nicht komplett in einer einzelnen Zeile sind. Ein
böswilliger Server könnte dadurch ein Denial-of-Service erstellen.</dd>
</dl>
<p>Für die stable Distribution (Woody) wurden diese Probleme in
Version 0.3-3.1 behoben.</p>
<p>Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie
keine gkrellm-newsticker Pakete enthält.</p>
<p>Für die unstable Distribution (Sid) wurden diese Probleme noch nicht
behoben.</p>
<p>Wir empfehlen Ihnen, Ihr gkrellm-newsticker Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-294.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
# $Id$
|
