-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 163-1 security@debian.org http://www.debian.org/security/ Martin Schulze 09 de Setembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mhonarc Vulnerabilidade : cross site scripting Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2002-0738 Id no BugTraq : 4546 Upstream URL : http://online.securityfocus.com/archive/1/268455 Jason Molenda e Hiromitsu Takagi descobriram maneiras de exlorar erros cross site scripting no mhonarc, um conversor de mail para HTML. Quando processa emails maliciosos do tipo text/html, o mhonarc não desativa todas as partes do script corretamente. Isso foi corrigido na versão 2.5.3. Se você está preocupado com a segurança, é recomendável que você desabilite o suporte de mensagens text/html nos seus arquivos de emails. Não existe garantia de que a biblioteca mhtxthtml.pl é robusta o suficiente para eliminar todas as possibilidades de exploração que podem ocorrer com dados em HTML. Para excluir dados em HTML, você pode usar o recurso MIMEEXCS. Por exemplo: <MIMEExcs> text/html text/x-html </MIMEExcs> O uso do "text/x-html" provavelmente não é mais utilizado, mas é bom inclui-lo, por via das dúvidas. Se você está preocupado com que isso possa bloquear todo o conteúdo de algumas mensagens, então você pode fazer o seguinte: <MIMEFilters> text/html; m2h_text_plain::filter; mhtxtplain.pl text/x-html; m2h_text_plain::filter; mhtxtplain.pl </MIMEFilters> Isso trata o HTML como text/plain. Os problemas acima foram corrigidos na versão 2.5.2-1.1 para a distribuição stable atual (woody), na versão 2.4.4-1.1 para a distribuição stable antiga (potato) e na versão 2.5.11-1 para a distribuição unstable (sid). Nós recomendamos que você faça o upgrade de seus pacotes mhonarc. wget url irá baixar o pacote para você dpkg -i file.deb instalará o pacote baixado Se você está usando o gerenciador de pacotes apt-get, use a linha no sources.list como é mostrado no fim do arquivo: apt-get update fará o update da base interna apt-get upgrade instalará os pacotes corretos Você pode usar uma atualização automatica adicionando os recursos do rodapé com a configuração apropriada. Debian GNU/Linux 2.2 codnome potato ----------------------------------- Arquivos de Source: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc Size/MD5 checksum: 538 53ba6d2d674e257704316f2d79c78f2b http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz Size/MD5 checksum: 5951 09a4eb1ab17adda2063eb6cc8bbccf67 http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz Size/MD5 checksum: 451692 17bfacfc31d185f472695b0fac5d23b9 Componentes de arquitetura independente: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb Size/MD5 checksum: 453130 04d3a566858fab841acd7ece5d8ae127 Debian GNU/Linux 3.0 codnome woody ---------------------------------- Arquivos de Source: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc Size/MD5 checksum: 560 eb4744e14f378e2c64b5dfd10b675808 http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz Size/MD5 checksum: 4070 c83dc0b1e42beac644a56632b54d26e6 http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz Size/MD5 checksum: 600942 5151b61a4dc2bd18214e9a8d47ec41df Componentes de arquitetura independente: http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb Size/MD5 checksum: 572816 6696856ba903ea8a882cfcc48b29dec9 Esses arquivos provavelmente serão movidos para a distribuição estável na sua próxima revisão. -------------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de email: debian-security-announce@lists.debian.org Informação do Package: `apt-cache show <pkg>' and http://packages.debian.org/<pkg> -- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpKng8pl4yHH.pgp
Description: PGP signature