[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 163-1] Novo pacote mhonarc corrige problemas de cross site scripting

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 163-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
09 de Setembro de 2002                  http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote                : mhonarc
Vulnerabilidade       : cross site scripting
Tipo de Problema      : remoto
Específico ao Debian  : não
Id CVE                : CAN-2002-0738
Id no BugTraq         : 4546
Upstream URL          : http://online.securityfocus.com/archive/1/268455

Jason Molenda e Hiromitsu Takagi descobriram maneiras de exlorar erros
cross site scripting no mhonarc, um conversor de mail para HTML. Quando
processa emails maliciosos do tipo text/html, o mhonarc não desativa
todas as partes do script corretamente. Isso foi corrigido na versão
2.5.3.

Se você está preocupado com a segurança, é recomendável que você 
desabilite o suporte de mensagens text/html nos seus arquivos de
emails. Não existe garantia de que a biblioteca mhtxthtml.pl é 
robusta o suficiente para eliminar todas as possibilidades de 
exploração que podem ocorrer com dados em HTML.

Para excluir dados em HTML, você pode usar o recurso MIMEEXCS. Por exemplo:

    <MIMEExcs>
    text/html
    text/x-html
    </MIMEExcs>

O uso do "text/x-html" provavelmente não é mais utilizado, mas é bom inclui-lo, por via das dúvidas.

Se você está preocupado com que isso possa bloquear todo o conteúdo de
algumas mensagens, então você pode fazer o seguinte:

    <MIMEFilters>
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    </MIMEFilters>

Isso trata o HTML como text/plain.

Os problemas acima foram corrigidos na versão 2.5.2-1.1 para a
distribuição stable atual (woody), na versão 2.4.4-1.1 para a distribuição
stable antiga (potato) e na versão 2.5.11-1 para a distribuição unstable
(sid).

Nós recomendamos que você faça o upgrade de seus pacotes mhonarc.

wget url
	irá baixar o pacote para você
dpkg -i file.deb
        instalará o pacote baixado

Se você está usando o gerenciador de pacotes apt-get, use a linha no 
sources.list como é mostrado no fim do arquivo:

apt-get update
        fará o update da base interna
apt-get upgrade
        instalará os pacotes corretos

Você pode usar uma atualização automatica adicionando os recursos do
rodapé com a configuração apropriada.

Debian GNU/Linux 2.2 codnome potato
-----------------------------------

  Arquivos de Source:

    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
      Size/MD5 checksum:      538 53ba6d2d674e257704316f2d79c78f2b
    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
      Size/MD5 checksum:     5951 09a4eb1ab17adda2063eb6cc8bbccf67
    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
      Size/MD5 checksum:   451692 17bfacfc31d185f472695b0fac5d23b9

  Componentes de arquitetura independente:

    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb
      Size/MD5 checksum:   453130 04d3a566858fab841acd7ece5d8ae127


Debian GNU/Linux 3.0 codnome woody
----------------------------------

  Arquivos de Source:

    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
      Size/MD5 checksum:      560 eb4744e14f378e2c64b5dfd10b675808
    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
      Size/MD5 checksum:     4070 c83dc0b1e42beac644a56632b54d26e6
    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
      Size/MD5 checksum:   600942 5151b61a4dc2bd18214e9a8d47ec41df

  Componentes de arquitetura independente:

    http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb
      Size/MD5 checksum:   572816 6696856ba903ea8a882cfcc48b29dec9


  Esses arquivos provavelmente serão movidos para a distribuição estável
na sua próxima revisão.
  
--------------------------------------------------------------------------
Para apt-get: deb http://security.debian.org/ stable/updates main
Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de email: debian-security-announce@lists.debian.org
Informação do Package: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

-- 
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpBmeCNxTOBD.pgp
Description: PGP signature

Reply to: