Debian セキュリティ勧告

DSA-163-1 mhonarc -- クロスサイトスクリプティング

報告日時:
2002-09-09
影響を受けるパッケージ:
mhonarc
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 4546.
Mitre の CVE 辞書: CVE-2002-0738.
詳細:

Jason Molenda さんと 高木浩光さんにより、mhonarc (メールを HTML に変換するコンバータ) に、 クロスサイトスクリプティングのバグを突いて攻撃する手法が 発見されました。 悪意をもって細工された text/html タイプのメールを処理するとき、 mhonarc はすべてのスクリプト部分を適切に無効化していませんでした。 この問題は、上流のバージョン 2.5.3 で修正されています。

セキュリティが心配な場合、メールアーカイブの text/html メッセージの サポートを無効にすることをお勧めします。 mhtxthtml.pl ライブラリが、HTML データにからんで起こりうる すべての攻撃を防ぐだけの頑強さを持ちあわせているという保証がないからです。

HTML データを除外するには、MIMEEXCS リソースを使います。例えば:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

"text/x-html" タイプを使用することはおそらくもうないでしょうが、 念のためにこれも含めておくのが良いでしょう。

一部のメッセージの内容全体を除外しようとお考えの場合には、 上記の代わりに下記のような方法となります。

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

これは、HTML を text/plain とみなして処理する、という設定です。

上記の問題は、現安定版 (stable)(woody) ではバージョン 2.5.2-1.1 で、 旧安定版 (potato) ではバージョン 2.4.4-1.1 で、 不安定版 (unstable)(sid) ではバージョン version 2.5.11-1 で 各々修正されています。

mhonarc パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。