Рекомендация Debian по безопасности

DSA-221-1 mhonarc -- перекрёстные между сайтами скрипты

Дата сообщения:

03.01.2003

Затронутые пакеты:

mhonarc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6479.
В каталоге Mitre CVE: CVE-2002-1388.

Более подробная информация:

Эарл Худ (Earl Hood), автор mhonarc, конвертера почты в формат HTML, обнаружил в этом пакете уязвимость, позволяющую писать скрипты, перекрёстные между сайтами. Созданное особым образом почтовое сообщение может вызывать выполнение внешних скриптов, содержащихся в архиве, в обход фильтра скриптов MHonArc.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.5.2-1.3.

В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 2.4.4-1.3.

В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 2.5.14-1.

Мы рекомендуем вам обновить пакет mhonarc.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.