Bacheca Debian sulla sicurezza

DSA-199-1 mhonarc -- esecuzione di script su altro sito

Data della segnalazione:
19 nov 2002
Pacchetti coinvolti:
mhonarc
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel database Bugtraq (presso SecurityFocus): Numero del bug 6204.
Nel dizionario CVE di Mitre: CVE-2002-1307.
Maggiori informazioni:

Steven Christey ha scoperto una volnerabilità di tipo "cross site scripting" in mhonarc, un convertitore da mail a HTML. Un messagio dall'intestazione attentamente preparata può introdurre l'esecuzione di uno script sulla macchina remota se mhonarc è configurato per mostrare i messaggi con le intestazioni via web. In ogni caso è normale restringere i campi dell'intestazione da mostrare a To, From e Subject, nel qual caso la vulnerabilità non è valida.

Questo problema è stato risolto nella versione 2.5.2-1.2 per la attuale distribuzione stable (woody), nella versione 2.4.4-1.2 per la precedente distribuzione stable (potato) e nella versione 2.5.13-1 per la distribuzione unstable (sid).

Raccomandiamo di aggiornare il pacchetto mhonarc.

Risolto in:

Debian GNU/Linux 2.2 (potato)

Sorgente:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Sorgente:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.