blob: 5ce3fc64148b8bfcbee569d223a05419d5bb4efc (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
#use wml::debian::translation-check translation="01f94cf5aa504f52450ff07a077c65574745571d" maintainer="Lev Lamberov"
<define-tag description>межсайтовый скриптинг</define-tag>
<define-tag moreinfo>
<p>В squirrelmail, полнофункциональном пакете веб-почты на языке PHP4, было
обнаружено несколько уязвимостей, приводящих к межсайтовому скриптингу.
Проект Common Vulnerabilities and Exposures (CVE) определяет
следующие проблемы:</p>
<ol>
<li>CAN-2002-1131: Пользовательские входные данные не всегда очищаются, поэтому
на клиентском компьютере возможно выполнение произвольного кода. Это может
произойти после открытия специально сформированного URL или при просмотре
специально сформированной записи адресной книги.</li>
<li>CAN-2002-1132: Другая проблема может позволить злоумышленнику при определённых
условиях получить чувствительную информацию.
При добавлении к ссылке специально сформированного аргумента создаётся страница
с сообщением об ошибке, содержащая абсолютный путь
сценария. Тем не менее, эта информация всё равно доступна через
файл Contents дистрибутива.</li>
</ol>
<p>Эти проблемы были исправлены в версии 1.2.6-1.1 для текущего стабильного
выпуска (woody) и в версии 1.2.8-1.1 для нестабильного
выпуска (sid). Предыдущий стабильный выпуск (potato) не
подвержен этим проблемам, поскольку в нём отсутствует пакет squirrelmail.</p>
<p>Рекомендуется обновить пакет squirrelmail.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-191.data"
# $Id$
|