nicht angemeldet
Cross Site Scripting Schwachstelle in CGI.pm
Hi,
Eine Meldung des DFN-CERTS:
===============
soeben erreichte uns nachfolgende Warnung des Debian-Teams ueber
Sicherheitsprobleme in perl. Wir geben diese Informationen
unveraendert an Sie weiter.
Beschrieben wird eine Cross Site Scripting Schwachstelle in der
Funktion start_form() des perl-Moduls CGI.pm. Diese Funktion uebergibt
benutzergenerierte Eingaben an das "action" Attribut eines FORM
Elements ohne Ueberpruefung. Ein entfernter Angreifer koennte somit eigenen Script-Code Browser eines Opfers ausfuehren.
Betroffen ist perl in Debian GNU/Linux 3.0 (Stable/woody) und Unstable
(sid). Der Fehler ist behoben in den Versionen:
5.6.1-8.3 Stable (3.0/woody)
5.8.0-19 Unstable (sid)
(c) der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,
auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT
GmbH, und nur zu nicht kommerziellen Zwecken gestattet.
Ciao,
Wolfgang
-
Hallo Wolfgang,
Perl 5.8.x (Debian)
Wie nett, dass du uns das mitteilst, gerade unter dem Hintergrund der heftigen Debatten weiter unten über "Update-Moral".
Ich glaube, dass das kein großes Problem darstellt, da ein Debian-User (es gibt natürlich ausnahmen, aber "Ich-habe-Linux-und-bin-cool"-Kiddies gehören nur wenige dazu) dieses Update entweder bereits eingespielt hat (Ich hab's gestern gemacht, gleich als das Patch auf security.debian.org bereitstand), es jetzt tut, oder aber spätestens morgen, nachdem er gewissenhaft die Debian-Weekly-News studiert hat ;-))Würmer dieser Welt, keine Chance.
Grüße aus Barsinghausen,
Fabian