Debians sikkerhedsbulletin

DSA-163-1 mhonarc -- "cross site"-udførelse af script

Rapporteret den:
9. sep 2002
Berørte pakker:
mhonarc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4546.
I Mitres CVE-ordbog: CVE-2002-0738.
Yderligere oplysninger:

Jason Molenda og Hiromitsu Takagi har fundet nogle måder hvorpå man kan udnytte "cross site"-scriptfejl i mhonarc, et e-mail til HTML-konverteringsprogram. Når ondsindet udformede e-mails af typen text/html behandles, deaktiverer mhonarc ikke alle script-dele korrekt. Dette er rettet i opstrøms version 2.5.3.

Hvis du bekymrer dig om sikkerhed, anbefales det at du slår understøttelsen af text/html-breve fra i dine e-mail-arkiver. Der er ingen garanti for at biblioteket mhtxthtml.pl er robust nok til at udrydde alle mulige udnyttelser som kan ske med HTML-data.

For at udelukke HTML-data, kan du bruge ressourcen MIMEEXCS. For eksemepl:

    
    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Typen "text/x-html" anvendes nok ikke mere, men det er godt at tage den med, bare for en sikkerheds skyld.

Hvis du er bange for at dette kan blokere hele indholdet i nogle breve, kan du i stedet gøre som følger:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Dette behandler HTML-kode som text/plain.

Ovennævnte problemer er rettet i version 2.5.2-1.1 i den aktuelle stabile distribution (woody), i version 2.4.4-1.1 i den gamle stabile distribution (potato) og i version 2.5.11-1 i den ustabile distribution (sid).

Vi anbefaler at du opgraderer dine mhonarc-pakker.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.