Säkerhetsbulletin från Debian
DSA-163-1 mhonarc -- serveröverskridande skriptproblem
- Rapporterat den:
- 2002-09-09
- Berörda paket:
- mhonarc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4546.
I Mitres CVE-förteckning: CVE-2002-0738. - Ytterligare information:
-
Jason Molenda och Hiromitsu Takagi upptäckte sätt att utnyttja serveröverskridande skriptproblem i mhonarc, ett program för att konvertera post till HTML. När ett illasinnat specialskrivet brev av typen text/html behandlas inaktiverar inte mhonarc alla skriptdelar på riktigt sätt. Detta har rättats i uppströmsversion 2.5.3.
Om du oroar dig över säkerheten rekommenderas det att du inaktiverar stödet för text/html-brev i dina brevarkiv. Det finns ingen garanti för att mhtxthtml.pl-biblioteket är robust nog att eliminera alla möjliga angrepp som kan rymmas i HTML-data.
För att exkludera HTML-data kan du använda MIMEEXCS-resursen. Till exempel:
<MIMEExcs> text/html text/x-html </MIMEExcs>Formen ”text/x-html” används troligen inte längre, men det kan vara en bra idé att lägga in den, utifall att.
Om du är rädd för att detta kan blockera hela innehållet i vissa brev kan du istället använda följande:
<MIMEFilters> text/html; m2h_text_plain::filter; mhtxtplain.pl text/x-html; m2h_text_plain::filter; mhtxtplain.pl </MIMEFilters>Denna inställning behandlar HTML som text/plain.
Ovanstående problem har rättats i version 2.5.2-1.1 för den nuvarande stabila utgåvan (Woody), i version 2.4.4-1.1 för den gamla stabila utgåvan (Potato) samt i version 2.5.11-1 för den instabila utgåvan (Sid).
Vi rekommenderar att ni uppgraderar era mhonarc-paket.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.