[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:34434] [Translate] [SECURITY] [DSA 163-1] New mhonarc packages fix cross site scripting problems
かねこです。
URL 等は元記事を確認ください。
#現環境では作業効率がどうしようもなく悪いので、159-2 は今晩で勘弁。
------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 163-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
September 9th, 2002 http://www.debian.org/security/faq
- --------------------------------------------------------------------------
Package : mhonarc
Vulnerability : クロスサイトスクリプティング
Problem-Type : remote
Debian-specific: no
CVE Id : CAN-2002-0738
BugTraq ID : 4546
Upstream URL : http://online.securityfocus.com/archive/1/268455
Jason Molenda さんと高木浩光さんにより、mail から HTML へのコンバータ mhonarc に
対するクロスサイトスクリプティング攻撃手法が発見されました。悪意を持って作成された
text/html MIME タイプのメールを処理する際に、すべてのスクリプトを適切に無効化でき
ていません。これは上流のバージョン 2.5.3 で修正されました。
セキュリティが心配な場合、メールアーカイブでの text/html サポートを無効にすることを
オススメします。これは、mhtxthtml.pl ライブラリが HTML データに絡んで発生する、す
べての可能な攻撃手段をすべて防ぐことができるほど頑健であるとの保証がないためで
す。
HTML データを除外するには、MIMEEXCS リソースを使います。例えば
To exclude HTML data, you can use the MIMEEXCS resource. For example:
<MIMEExcs>
text/html
text/x-html
</MIMEExcs>
"text/x-html" を使うことはおそらくもうないでしょうが、用心のため入れておく方が良い
でしょう。
もし、一部のメッセージの内容の全体を除外することに興味があるということでしたら、変
わって以下の方法になります。
<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>
これは HTML を text/plain として扱います。
この問題は、新安定版 (stable) woody では、バージョン 2.5.2-1.1 で、
旧安定版 (stable) potato ではバージョン 2.4.4-1.1 で、不安定版
(unstable) sid ではバージョン 2.5.11-1 で、各々修正されています。
直ぐに mhonarc パッケージをアップグレードすることを勧めます。
wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。
apt-get パッケージマネージャを使っているなら、以下記載の sources.list
を用いて、次のコマンドを使ってください。
apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。
本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。
Debian GNU/Linux 2.2 愛称 potato
- --------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.dsc
Size/MD5 checksum: 538 53ba6d2d674e257704316f2d79c78f2b
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1.diff.gz
Size/MD5 checksum: 5951 09a4eb1ab17adda2063eb6cc8bbccf67
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4.orig.tar.gz
Size/MD5 checksum: 451692 17bfacfc31d185f472695b0fac5d23b9
Architecture independent components:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.4.4-1.1_all.deb
Size/MD5 checksum: 453130 04d3a566858fab841acd7ece5d8ae127
Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------
ソースアーカイブ:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.dsc
Size/MD5 checksum: 560 eb4744e14f378e2c64b5dfd10b675808
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1.diff.gz
Size/MD5 checksum: 4070 c83dc0b1e42beac644a56632b54d26e6
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2.orig.tar.gz
Size/MD5 checksum: 600942 5151b61a4dc2bd18214e9a8d47ec41df
Architecture independent components:
http://security.debian.org/pool/updates/main/m/mhonarc/mhonarc_2.5.2-1.1_all.deb
Size/MD5 checksum: 572816 6696856ba903ea8a882cfcc48b29dec9
These files will probably be moved into the stable distribution on
its next revision.
- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
-----------------------------------------------------------