Debian セキュリティ勧告

DSA-221-1 mhonarc -- クロスサイトスクリプティング

報告日時:

2003-01-03

影響を受けるパッケージ:

mhonarc

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 6479.
Mitre の CVE 辞書: CVE-2002-1388.

詳細:

mail から HTML へのコンバータ mhonarc の作者の Earl Hood さんが、このパッケージにクロスサイトスクリプティング脆弱性があることを発見しました。巧妙に作成された HTML メールメッセージにより、アーカイブに mhonarc の HTML スクリプトフィルタ機能をバイパスして外部スクリプトを挿入することができます。

現安定版 (stable) (woody) では、これはバージョン 2.5.2-1.3 で修正されています。

旧安定版 (potato) では、これはバージョン 2.4.4-1.3 で修正されています。

不安定版 (unstable) (sid) では、これはバージョン 2.5.14-1 で修正されています。

すぐに mhonarc パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。