Debianin tietoturvatiedote

DSA-199-1 mhonarc -- ristiinlinkittävä komentosarja

Ilmoitettu:

19.11.2002

Vaikutuksen alaiset paketit:

mhonarc

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6204.
Mitren CVE-sanakirjassa: CVE-2002-1307.

Lisätietoa:

Steven Christey havaitsi mhonarc:issa haavoittuvuuden joka mahdollistaa ristiinlinkittävän komentosarjan muodostamisen. mhonarc on työkalu jolla muunnetaan sähköposti HTML-koodiksi. Tarkoituksenmukaisesti muotoillut sähköpostin otsakkeet voivat tuottaa html-koodia joka sisältää ristiinlinkittävän komentosarjan, jos mhonarc on asetettu näyttämään kaikki postiotsakkeet www-sivulla. Usein on kuitenkin käytännöllistä rajata näytettäviksi otsakkeiksi To, From ja Subject, jolloin haavoittuvuutta ei voida käyttää hyväksi.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.5.2-1.2, aiemman vakaan jakelun (potato) versiossa 2.4.4-1.2 ja epävakaan jakelun (sid) versiossa 2.5.13-1 .

Suosittelemme päivittämään mhonarc-paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.2_all.deb

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.dsc; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2.diff.gz; http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.