Bacheca Debian sulla sicurezza

DSA-199-1 mhonarc -- esecuzione di script su altro sito

Data della segnalazione:

19 nov 2002

Pacchetti coinvolti:

mhonarc

Vulnerabile:

Sì

Referenze all'interno del database della sicurezza:

Nel database Bugtraq (presso SecurityFocus): Numero del bug 6204.
Nel dizionario CVE di Mitre: CVE-2002-1307.

Maggiori informazioni:

Steven Christey ha scoperto una volnerabilità di tipo "cross site scripting" in mhonarc, un convertitore da mail a HTML. Un messagio dall'intestazione attentamente preparata può introdurre l'esecuzione di uno script sulla macchina remota se mhonarc è configurato per mostrare i messaggi con le intestazioni via web. In ogni caso è normale restringere i campi dell'intestazione da mostrare a To, From e Subject, nel qual caso la vulnerabilità non è valida.

Questo problema è stato risolto nella versione 2.5.2-1.2 per la attuale distribuzione stable (woody), nella versione 2.4.4-1.2 per la precedente distribuzione stable (potato) e nella versione 2.5.13-1 per la distribuzione unstable (sid).

Raccomandiamo di aggiornare il pacchetto mhonarc.

Risolto in:

Debian GNU/Linux 2.2 (potato)

Sorgente:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Componente indipendente dall'architettura:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Sorgente:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Componente indipendente dall'architettura:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.