Debians sikkerhedsbulletin

DSA-199-1 mhonarc -- "cross site"-udførelse af scripts

Rapporteret den:
19. nov 2002
Berørte pakker:
mhonarc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6204.
I Mitres CVE-ordbog: CVE-2002-1307.
Yderligere oplysninger:

Steven Christey har opdaget en sårbarhed der gør det muligt at udføre scripts på andre netsteder i mhonarc, et program til konvertering fra e-mail til HTML. Omhyggeligt fremstillede headere i en e-mail kunne sætte en udførsel af scripts på et andet netsted i gang, når mhonarc er opsat til at vise alle headerlinier på en webside. Dog er det ofte nyttigt at begrænse de viste linier til To, From og Subject, hvorfor sårbarheden ikke kan udnyttes i disse tilfælde.

Dette problem er rettet i version 2.5.2-1.2 i den aktuelle stabile distribution (woody), i version 2.4.4-1.2 i den gamle stabile distribution (potato) og i version 2.5.13-1 i den ustabile distribution (sid).

Vi anbefaler at du opgraderer din mhonarc-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.