blob: 89778da297b43c690516d9c6daa960ae3102ca53 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>クォートの欠落、不完全なパース</define-tag>
<define-tag moreinfo>
<p>Brian Campbell さんは、2 つのセキュリティに関わる問題を gkrellm-newsticker
に発見しました。gkrellm-newsticker は、システム監視用プログラム gkrellm
用のプラグインで、RDF フィードから news ticker を作成します。
The Common Vulnerabilities and Exposures project では、以下の問題を認識しています:</p>
<dl>
<dt><a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0205">CAN-2003-0205</a></dt>
<dd>
RDF フィードで与えられた URI を使った ticker のタイトルがクリックされた際、
ユーザが選択したウェブブラウザを起動可能です。しかし、特殊な shell
文字列が正しくエスケープされていないので、クライアントのマシン上で任意の shell
コマンドを実行するような、悪意を含んだフィードが有効になります。</dd>
<dt><a
href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0206">CAN-2003-0206</a></dt>
<dd>
リンクやタイトル要素が完全に 1 行に収まっていない feed によって、gkrellm
システムが完全にクラッシュさせられます。そのため、悪意を含んでいるサーバは、
サービス拒否 (DoS) 攻撃が可能です。</dd>
</dl>
<p>安定版ディストリビューション (stable、コードネーム woody)
では、これらの問題はバージョン 0.3-3.1 で修正されています。</p>
<p>以前の安定版ディストリビューション (コードネーム potato)
では、gkrellm-newsticker パッケージが含まれていないため影響を受けません。</p>
<p>安定版ディストリビューション (unstable、コードネーム sid)
では、これらの問題はまだ修正されていません。</p>
<p>gkrellm-newsticker パッケージのアップグレードをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-294.data"
# $Id$
|
