Debianin tietoturvatiedote

DSA-199-1 mhonarc -- ristiinlinkittävä komentosarja

Ilmoitettu:
19.11.2002
Vaikutuksen alaiset paketit:
mhonarc
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6204.
Mitren CVE-sanakirjassa: CVE-2002-1307.
Lisätietoa:

Steven Christey havaitsi mhonarc:issa haavoittuvuuden joka mahdollistaa ristiinlinkittävän komentosarjan muodostamisen. mhonarc on työkalu jolla muunnetaan sähköposti HTML-koodiksi. Tarkoituksenmukaisesti muotoillut sähköpostin otsakkeet voivat tuottaa html-koodia joka sisältää ristiinlinkittävän komentosarjan, jos mhonarc on asetettu näyttämään kaikki postiotsakkeet www-sivulla. Usein on kuitenkin käytännöllistä rajata näytettäviksi otsakkeiksi To, From ja Subject, jolloin haavoittuvuutta ei voida käyttää hyväksi.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.5.2-1.2, aiemman vakaan jakelun (potato) versiossa 2.4.4-1.2 ja epävakaan jakelun (sid) versiossa 2.5.13-1 .

Suosittelemme päivittämään mhonarc-paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.