Bacheca Debian sulla sicurezza

DSA-163-1 mhonarc -- esecuzione di script su altro sito

Data della segnalazione:
09 set 2002
Pacchetti coinvolti:
mhonarc
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel database Bugtraq (presso SecurityFocus): Numero del bug 4546.
Nel dizionario CVE di Mitre: CVE-2002-0738.
Maggiori informazioni:

Jason Molenda e Hiromitsu Takagi hanno trovato un modo per eseguire degli script su altri siti che si basa su un bug di mhonarc, un convertitore da mail a HTML. Durante la conversione, in alcuni messaggi di tipo text/html creati in maniera particolare non viene disabilitata completamente l'esecuzione di eventuali script. Questo problema è stato risolto dall'autore nella versione 2.5.3

Se si è preoccupati della dicurezza è consigliabile disabilitare il supporto di messaggi text/html all'interno dei propri archivi. Non c'è però la sicurezza totale che la libreria mhtxthtml.pl sia sufficientemente robusta da impedire altri possibili attacchia via HTML.

Per escludere la gestione HTML si può utilizzare la risorsa MIMEEXCS. Ad esempio:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Il tipo "text/x-html" probabilmente non è più utilizzato, ma è una buona idea includerlo nella lista perché non si sa mai.

Se si è preoccupati che questo possa bloccare l'intero testo del messaggio allora si può procedere nel seguente modo, in alternativa al primo:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Questo fa sì che l'HTML sia trattato come text/plain.

Il problema è stato risolto nella versione 2.5.2-1.1 per la attuale distribuzione stable (woody), nella versione 2.4.4-1.1 per la vecchia distribuzione stable (potato) e nella versione 2.5.11-1 per la distribuzione unstable (sid).

Raccomandiamo di aggiornare i propri pacchetti mhonarc.

Risolto in:

Debian GNU/Linux 2.2 (potato)

Sorgente:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Sorgente:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.