Säkerhetsbulletin från Debian

DSA-163-1 mhonarc -- serveröverskridande skriptproblem

Rapporterat den:
2002-09-09
Berörda paket:
mhonarc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4546.
I Mitres CVE-förteckning: CVE-2002-0738.
Ytterligare information:

Jason Molenda och Hiromitsu Takagi upptäckte sätt att utnyttja serveröverskridande skriptproblem i mhonarc, ett program för att konvertera post till HTML. När ett illasinnat specialskrivet brev av typen text/html behandlas inaktiverar inte mhonarc alla skriptdelar på riktigt sätt. Detta har rättats i uppströmsversion 2.5.3.

Om du oroar dig över säkerheten rekommenderas det att du inaktiverar stödet för text/html-brev i dina brevarkiv. Det finns ingen garanti för att mhtxthtml.pl-biblioteket är robust nog att eliminera alla möjliga angrepp som kan rymmas i HTML-data.

För att exkludera HTML-data kan du använda MIMEEXCS-resursen. Till exempel:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Formen ”text/x-html” används troligen inte längre, men det kan vara en bra idé att lägga in den, utifall att.

Om du är rädd för att detta kan blockera hela innehållet i vissa brev kan du istället använda följande:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Denna inställning behandlar HTML som text/plain.

Ovanstående problem har rättats i version 2.5.2-1.1 för den nuvarande stabila utgåvan (Woody), i version 2.4.4-1.1 för den gamla stabila utgåvan (Potato) samt i version 2.5.11-1 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar era mhonarc-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.