Debian-Sicherheitsankündigung

DSA-163-1 mhonarc -- Site-übergreifendes Skripting

Datum des Berichts:
09. Sep 2002
Betroffene Pakete:
mhonarc
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 4546.
In Mitres CVE-Verzeichnis: CVE-2002-0738.
Weitere Informationen:

Jason Molenda und Hiromitsu Takagi haben Wege gefunden, Site-übergreifende Skripting-Fehler in mhonarc auszunutzen, einem Mail nach HTML Übersetzer. Wenn eine böswillig erstellte Mail mit dem Typ text/html bearbeitet wird, deaktiviert mhonarc nicht ordnungsgemäß alle Skripting-Teile. Dies wurde in Upstream-Version 2.5.3 behoben.

Wenn Sie um die Sicherheit besorgt sind, wird empfohlen, dass Sie text/html Nachrichten in ihren Mail-Archiven abdrehen. Es gibt keine Garantie dafür, dass die mhtxthtml.pl Bibliothek robust genug ist, alle möglichen Ausbeutungen zu eliminieren, die in HTML-Daten auftreten können.

Um HTML-Daten zu exkludieren, können Sie die MIMEEXCS-Ressource verwenden. Zum Beispiel:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Der Typ "text/x-html" wird wahrscheinlich nicht mehr verwendet, aber es ist gut, ihn zur Sicherheit eingeschlossen zu haben.

Falls Sie befürchten, dass dies den gesamten Inhalt von solchen Nachrichten ausschließt, können Sie stattdessen das folgende tun:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Dies behandelt HTML als text/plain.

Die oben angeführten Probleme wurden in Version 2.5.2-1.1 für die aktuelle stable Distribution (Woody), in Version 2.4.4-1.1 für die alte stable Distribution (Potato) und in Version 2.5.11-1 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihre mhonarc Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.