Debianin tietoturvatiedote

DSA-221-1 mhonarc -- ristiinlinkittävä komentosarja

Ilmoitettu:

3. 1.2003

Vaikutuksen alaiset paketit:

mhonarc

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6479.
Mitren CVE-sanakirjassa: CVE-2002-1388.

Lisätietoa:

Mhonarc'in, sähköposti/HTML-muuntimen, kirjoittaja Earl Hood havaitsi kyseisessä paketissa ristiinlinkittävälle komentosarjalle alttiin haavoittuvuuden. Tietyllä tavalla muotoillun HTML-sähköpostiviestin avulla on mahdollista ohittaa MHonArc'in HTML-skriptisuodatus ja sisällyttää arkistoihin sinne kuulumattomia skriptejä.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.5.2-1.3 .

Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 2.4.4-1.3 .

Ongelma on korjattu epävakaan jakelun (sid) versiossa 2.5.14-1 .

Suosittelemme päivittämään mhonarc-paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.