Aviso de seguridad de Debian

DSA-163-1 mhonarc -- scripts a través del sitio

Fecha del informe:
9 de sep de 2002
Paquetes afectados:
mhonarc
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4546.
En el diccionario CVE de Mitre: CVE-2002-0738.
Información adicional:

Jason Molenda e Hiromitsu Takagi encontraron formas de explotar errores de scripts a través del sitio en mhonarc, un conversor de correo a HTML. Al procesar correos modificados de forma maliciosa del tipo text/html, mhonarc no desactivada todas las partes de scripts adecuadamente. Esto está corregido en la versión del autor 2.5.3.

Si está preocupado por la seguridad, se recomienda que desactive el soporte de mensajes text/html en sus archivos de correo. No hay garantía de que la biblioteca mhtxthtml.pl sea lo suficientemente robusta como para eliminar todas las posibles explotaciones que puedan ocurrir con los datos HTML.

Para excluir los datos HTML, puede usar el recurso MIMEEXCS. Por ejemplo:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

El tipo "text/x-html" probablemente no vuelva a usarse más, pero es bueno incluirlo por si acaso.

Si considera que esto puede bloquear los contenidos completos de algunos mensajes, entonces haga lo siguiente:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Esto trata el HTML como text/plain.

Los problemas de arriba se han corregido en la versión 2.5.2-1.1 para la distribución estable actual (woody), en la versión 2.4.4-1.1 para la distribución estable anterior (potato) y en la versión 2.5.11-1 para la distribución inestable (sid).

Le recomendamos que actualice los paquetes mhonarc.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.