Csomag: mhonarc
Sebezhezőség: cross site scripting
Probléma típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-0738
BugTraq ID: 4546
Upstream URL: http://online.securityfocus.com/archive/1/268455Jason Molenda és Hiromitsu Takagi talált módot arra, hogy kihasználja az oldalközi szkriptelhetőséget a mhonarch-ban, ami egy levél->HTML konverter. Amikor feldolgozza a gonosz módon ravasz leveleket aminek a típusa text/html, a mhonarch nem deaktiválja az összes scriptet rendesen. Ezt az upstream a 2.5.3 verzióban javítja.
A teljes hibajegyet kivételesen nem idézem be.
A probléma javítva van a 2.5.2-1.1 verzióban, az aktuális stabil disztribúcióban (woody), illetve a 2.4.4-1.1 verzióban a régi stabil disztribúcióban (potato). és a 2.5.11-1verzióban az unstabil (sid) disztribúcióban.
Javasoljuk a mhonarc csomagok frissítését.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.