Debians sikkerhedsbulletin

DSA-199-1 mhonarc -- "cross site"-udførelse af scripts

Rapporteret den:

19. nov 2002

Berørte pakker:

mhonarc

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6204.
I Mitres CVE-ordbog: CVE-2002-1307.

Yderligere oplysninger:

Steven Christey har opdaget en sårbarhed der gør det muligt at udføre scripts på andre netsteder i mhonarc, et program til konvertering fra e-mail til HTML. Omhyggeligt fremstillede headere i en e-mail kunne sætte en udførsel af scripts på et andet netsted i gang, når mhonarc er opsat til at vise alle headerlinier på en webside. Dog er det ofte nyttigt at begrænse de viste linier til To, From og Subject, hvorfor sårbarheden ikke kan udnyttes i disse tilfælde.

Dette problem er rettet i version 2.5.2-1.2 i den aktuelle stabile distribution (woody), i version 2.4.4-1.2 i den gamle stabile distribution (potato) og i version 2.5.13-1 i den ustabile distribution (sid).

Vi anbefaler at du opgraderer din mhonarc-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.