发布日期：2009-11-20
更新日期：2009-12-02

受影响系统：

Mozilla Sage 1.4.3

描述：

---

BUGTRAQ  ID: 37120
CVE(CAN) ID: CVE-2009-4102

Sage是Firefox所使用的轻型RSS和Atom源汇集器扩展。

Sage没有正确地过滤RSS源中的description标签输入便用于渲染内容，用户受骗订阅了恶意的RSS源就会导致以chrome:权限执行任意脚本代码。

<*来源：Roberto Suggi Liverani
        Nick Freeman
  
  链接：http://secunia.com/advisories/37466/
        http://forums.mozillazine.org/viewtopic.php?f=48&t=1603515&start=0
        http://www.net-security.org/secworld.php?id=8527
        http://www.debian.org/security/2009/dsa-1951
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1951-1）以及相应补丁:
DSA-1951-1：New firefox-sage packages fix insufficient input sanitizing
链接：http://www.debian.org/security/2009/dsa-1951

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1.dsc
Size/MD5 checksum:      607 d4175001caa8fc685f47452de46aaa03
http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6.orig.tar.gz
Size/MD5 checksum:   135325 49c68a517b6611c7352feb6072be9567
http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1.diff.gz
Size/MD5 checksum:    13123 a59b6403405d4c6214b569fdb068049f

Architecture independent packages:

http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.3.6-4etch1_all.deb
Size/MD5 checksum:   150172 57339ba6521e7611e4e27fce4f87df31


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

Debian (stable)
- ---------------

Stable updates are available for alpha, amd64, arm, armel, hppa, i386, ia64, mips, mipsel, powerpc, s390 and sparc.

Source archives:

http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1.diff.gz
Size/MD5 checksum:    15552 c62acce299739cfe09c5ed671f0d310f
http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2.orig.tar.gz
Size/MD5 checksum:   169202 71f4d7379bc6e39640fc20016493f129
http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1.dsc
Size/MD5 checksum:     1039 f47c953cd90197453e1ce165f13cb701

Architecture independent packages:

http://security.debian.org/pool/updates/main/f/firefox-sage/firefox-sage_1.4.2-0.1+lenny1_all.deb
Size/MD5 checksum:   171308 63a27b648f10e021b18acf9c8d8d24f0

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

浏览次数：2589
严重程度：0（网友投票）