Bulletin d'alerte Debian

DSA-163-1 mhonarc -- Faille sur les éléments dynamiques

Date du rapport :
9 septembre 2002
Paquets concernés :
mhonarc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 4546.
Dans le dictionnaire CVE du Mitre : CVE-2002-0738.
Plus de précisions :

Jason Molenda et Hiromitsu Takagi ont réussi à exploiter les bogues sur les éléments dynamiques dans mhonarc, un convertisseur de courriel en HTML. En traitant un message électronique conçu à dessein de type text/html, mhonarc ne désactive pas proprement tous les éléments dynamiques. Ceci est réparé dans le source originale dans la version 2.5.3.

Si vous êtes inquiet à propos de la sécurité, il est recommandé de désactiver la fonctionnalité pour les messages text/html dans vos archives. Il n'y a aucune garantie que la bibliothèque mhtxthtml.pl est assez robuste pour éliminer tout risque d'attaque via des données HTML.

Pour exclure les données au format HTML, vous pouvez utiliser la ressource MIMEEXCS. Par exemple :

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Le type text/x-html n'est probablement plus utilisée désormais mais il est bon de l'inclure tout de même, on ne sait jamais.

Si le contenu de vos messages n'apparaissent pas, vous pouvez faire ceci à la place :

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Ceci traite le format HTML comme du text/plain.

Les problèmes décrits ont été réglé dans la version 2.5.2-1.1 pour l'actuelle distribution stable (woody), dans celle 2.4.4-1.1 pour l'ancienne distribution stable (potato) et dans celle 2.5.11-1 pour la distribution instable (sid).

Nous vous recommandons de mettre à jour les paquets mhonarc.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.