Рекомендация Debian по безопасности
DSA-221-1 mhonarc -- перекрёстные между сайтами скрипты
- Дата сообщения:
- 03.01.2003
- Затронутые пакеты:
- mhonarc
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6479.
В каталоге Mitre CVE: CVE-2002-1388. - Более подробная информация:
-
Эарл Худ (Earl Hood), автор mhonarc, конвертера почты в формат HTML, обнаружил в этом пакете уязвимость, позволяющую писать скрипты, перекрёстные между сайтами. Созданное особым образом почтовое сообщение может вызывать выполнение внешних скриптов, содержащихся в архиве, в обход фильтра скриптов MHonArc.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.5.2-1.3.
В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 2.4.4-1.3.
В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 2.5.14-1.
Мы рекомендуем вам обновить пакет mhonarc.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3_all.deb
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.diff.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.