Säkerhetsbulletin från Debian

DSA-199-1 mhonarc -- serveröverskridande skriptsårbarhet

Rapporterat den:
2002-11-19
Berörda paket:
mhonarc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6204.
I Mitres CVE-förteckning: CVE-2002-1307.
Ytterligare information:

Steven Christey upptäckte en serveröverskridande skriptsårbarhet i mhonarc, ett program för att omvandla e-post till HTML. Specialskrivna brevhuvuden kan introducera serveröverskridande skript om mhonarc är inställt på att visa alla brevhuvuden på webbsidor. Oftast är det dock lämpligast att begränsa de visade brevhuvudena till att visa To, From och Subject, vilket gör att sårbarheten inte kan utnyttjas.

Detta problem har rättats i version 2.5.2-1.2 för den nuvarande stabila utgåvan (Woody), i version 2.4.4-1.2 för den gamla stabila utgåvan (Potato) samt i version 2.5.13-1 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar ert mhonarc-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.