En raison du non-échappement d'un code HTML, Faq-0-Matic renvoyait des scripts non vérifiés aux navigateurs. Avec quelques réglages, ceci permettait à un assaillant de dérober les témoins de connexions (« cookies ») d'un des modérateurs de Faq-O-Matic ou le témoin de l'administrateur.
La vulnérabilité des éléments de scripts dynamiques est un type de problème qui permet à une personne malintentionnée de faire exécuter par d'autres personnes des Javascripts dans leurs navigateurs. Le JavaScript est exécuté sur la machine de la victime et se situe dans le contexte d'un site web exécutant le manageur de la Foire Aux Questions de Faq-O-Matic.
Ce problème a été corrigé dans la version 2.603-1.2 pour la distribution Debian stable et la version 2.712-2 pour l'actuelle distribution testing/unstable.
Nous vous recommandons de mettre à jour votre paquet faqomatic si vous l'avez installé.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.