Рекомендация Debian по безопасности
DSA-163-1 mhonarc -- межсайтовый скриптинг
- Дата сообщения:
- 09.09.2002
- Затронутые пакеты:
- mhonarc
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 4546.
В каталоге Mitre CVE: CVE-2002-0738. - Более подробная информация:
-
Джейсон Моленда и Хиромитсу Такаги обнаружили способы использования межсайтового скриптинга в mhonarc, программе для преобразования сообщений электронной почты в HTML. При обработке специально сформированных сообщений с типом text/html mhonarc неправильно отключает части сценария. Эта проблема исправлена в версии 2.5.3 в основной ветке разработки.
Если вас волнует безопасность, то рекомендуется отключить поддержку сообщений text/html в вашем почтовом архиве. Нет никакой гарантии, что библиотека mhtxthtml.pl достаточна надёжна, чтобы справится со всеми возможными уязвимостями, которые могут возникнуть в HTML-данных.
Для того, чтобы исключить HTML-данные, вы можете использовать ресурс MIMEEXCS. Например:
<MIMEExcs> text/html text/x-html </MIMEExcs>Вероятно, тип "text/x-html" более не используется, но лучше на всякий случай добавить и его.
Если вы считаете, что это приведёт к блокировке всего содержимого некоторых сообщений, то вы можете использовать следующие настройки:
<MIMEFilters> text/html; m2h_text_plain::filter; mhtxtplain.pl text/x-html; m2h_text_plain::filter; mhtxtplain.pl </MIMEFilters>При этих настройках HTML рассматривается в качестве text/plain.
Указанные выше проблемы были исправлены в версии 2.5.2-1.1 в текущем стабильном выпуске (woody), в версии 2.4.4-1.1 в предыдущем стабильном выпуске (potato) и в версии 2.5.11-1 в нестабильном выпуске (sid).
Рекомендуется обновить пакеты mhonarc.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.