Рекомендация Debian по безопасности

DSA-163-1 mhonarc -- межсайтовый скриптинг

Дата сообщения:
09.09.2002
Затронутые пакеты:
mhonarc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 4546.
В каталоге Mitre CVE: CVE-2002-0738.
Более подробная информация:

Джейсон Моленда и Хиромитсу Такаги обнаружили способы использования межсайтового скриптинга в mhonarc, программе для преобразования сообщений электронной почты в HTML. При обработке специально сформированных сообщений с типом text/html mhonarc неправильно отключает части сценария. Эта проблема исправлена в версии 2.5.3 в основной ветке разработки.

Если вас волнует безопасность, то рекомендуется отключить поддержку сообщений text/html в вашем почтовом архиве. Нет никакой гарантии, что библиотека mhtxthtml.pl достаточна надёжна, чтобы справится со всеми возможными уязвимостями, которые могут возникнуть в HTML-данных.

Для того, чтобы исключить HTML-данные, вы можете использовать ресурс MIMEEXCS. Например:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

Вероятно, тип "text/x-html" более не используется, но лучше на всякий случай добавить и его.

Если вы считаете, что это приведёт к блокировке всего содержимого некоторых сообщений, то вы можете использовать следующие настройки:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

При этих настройках HTML рассматривается в качестве text/plain.

Указанные выше проблемы были исправлены в версии 2.5.2-1.1 в текущем стабильном выпуске (woody), в версии 2.4.4-1.1 в предыдущем стабильном выпуске (potato) и в версии 2.5.11-1 в нестабильном выпуске (sid).

Рекомендуется обновить пакеты mhonarc.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.