Debians sikkerhedsbulletin
DSA-199-1 mhonarc -- "cross site"-udførelse af scripts
- Rapporteret den:
- 19. nov 2002
- Berørte pakker:
- mhonarc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6204.
I Mitres CVE-ordbog: CVE-2002-1307. - Yderligere oplysninger:
-
Steven Christey har opdaget en sårbarhed der gør det muligt at udføre scripts på andre netsteder i mhonarc, et program til konvertering fra e-mail til HTML. Omhyggeligt fremstillede headere i en e-mail kunne sætte en udførsel af scripts på et andet netsted i gang, når mhonarc er opsat til at vise alle headerlinier på en webside. Dog er det ofte nyttigt at begrænse de viste linier til To, From og Subject, hvorfor sårbarheden ikke kan udnyttes i disse tilfælde.
Dette problem er rettet i version 2.5.2-1.2 i den aktuelle stabile distribution (woody), i version 2.4.4-1.2 i den gamle stabile distribution (potato) og i version 2.5.13-1 i den ustabile distribution (sid).
Vi anbefaler at du opgraderer din mhonarc-pakke.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.