Debians sikkerhedsbulletin
DSA-163-1 mhonarc -- "cross site"-udførelse af script
- Rapporteret den:
- 9. sep 2002
- Berørte pakker:
- mhonarc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4546.
I Mitres CVE-ordbog: CVE-2002-0738. - Yderligere oplysninger:
-
Jason Molenda og Hiromitsu Takagi har fundet nogle måder hvorpå man kan udnytte "cross site"-scriptfejl i mhonarc, et e-mail til HTML-konverteringsprogram. Når ondsindet udformede e-mails af typen text/html behandles, deaktiverer mhonarc ikke alle script-dele korrekt. Dette er rettet i opstrøms version 2.5.3.
Hvis du bekymrer dig om sikkerhed, anbefales det at du slår understøttelsen af text/html-breve fra i dine e-mail-arkiver. Der er ingen garanti for at biblioteket mhtxthtml.pl er robust nok til at udrydde alle mulige udnyttelser som kan ske med HTML-data.
For at udelukke HTML-data, kan du bruge ressourcen MIMEEXCS. For eksemepl:
<MIMEExcs> text/html text/x-html </MIMEExcs>Typen "text/x-html" anvendes nok ikke mere, men det er godt at tage den med, bare for en sikkerheds skyld.
Hvis du er bange for at dette kan blokere hele indholdet i nogle breve, kan du i stedet gøre som følger:
<MIMEFilters> text/html; m2h_text_plain::filter; mhtxtplain.pl text/x-html; m2h_text_plain::filter; mhtxtplain.pl </MIMEFilters>Dette behandler HTML-kode som text/plain.
Ovennævnte problemer er rettet i version 2.5.2-1.1 i den aktuelle stabile distribution (woody), i version 2.4.4-1.1 i den gamle stabile distribution (potato) og i version 2.5.11-1 i den ustabile distribution (sid).
Vi anbefaler at du opgraderer dine mhonarc-pakker.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.