Debian-Sicherheitsankündigung

DSA-199-1 mhonarc -- Site-übergreifendes Skripting

Datum des Berichts:
19. Nov 2002
Betroffene Pakete:
mhonarc
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6204.
In Mitres CVE-Verzeichnis: CVE-2002-1307.
Weitere Informationen:

Steven Christey entdeckte eine Site-übergreifende Skripting-Verwundbarkeit in mhonarc, einem Mail nach HTML Umwandler. Sorgfältig erstellte Nachrichten-Kopfzeilen können Site-übergreifendes Skripting einführen, wenn mhonarc konfiguriert ist, alle Kopfzeilen im Web anzuzeigen. Jedoch ist es oft nützlich, die angezeigten Kopfzeilen auf To, From und Subject zu beschränken, wodurch die Verwundbarkeit nicht ausgenutzt werden kann.

Dieses Problem wurde in Version 2.5.2-1.2 für die aktuelle stable Distribution (Woody), in Version 2.4.4-1.2 für die alte stable Distribution (Potato) und in Version 2.5.13-1 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr mhonarc-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.