path: root/german/security/2002/dsa-163.wml

<define-tag description>Site-übergreifendes Skripting</define-tag>
<define-tag moreinfo>
<p>Jason Molenda und Hiromitsu Takagi haben Wege
<a href="http://online.securityfocus.com/archive/1/268455">gefunden</a>,
Site-übergreifende Skripting-Fehler in mhonarc auszunutzen, einem Mail nach
HTML Übersetzer.  Wenn eine böswillig erstellte Mail mit dem Typ text/html
bearbeitet wird, deaktiviert mhonarc nicht ordnungsgemäß alle Skripting-Teile.
Dies wurde in Upstream-Version 2.5.3 behoben.</p>

<p>Wenn Sie um die Sicherheit besorgt sind, wird empfohlen, dass Sie text/html
Nachrichten in ihren Mail-Archiven abdrehen. Es gibt keine Garantie dafür,
dass die mhtxthtml.pl Bibliothek robust genug ist, alle möglichen Ausbeutungen
zu eliminieren, die in HTML-Daten auftreten können.</p>

<p>Um HTML-Daten zu exkludieren, können Sie die MIMEEXCS-Ressource verwenden.
Zum Beispiel:</p>

<pre>
    &lt;MIMEExcs&gt;
    text/html
    text/x-html
    &lt;/MIMEExcs&gt;
</pre>

<p>Der Typ "text/x-html" wird wahrscheinlich nicht mehr verwendet, aber es ist
gut, ihn zur Sicherheit eingeschlossen zu haben.</p>

<p>Falls Sie befürchten, dass dies den gesamten Inhalt von solchen Nachrichten
ausschließt, können Sie stattdessen das folgende tun:</p>

<pre>
    &lt;MIMEFilters&gt;
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    &lt;/MIMEFilters&gt;
</pre>

<p>Dies behandelt HTML als text/plain.</p>

<p>Die oben angeführten Probleme wurden in Version 2.5.2-1.1 für die aktuelle
stable Distribution (Woody), in Version 2.4.4-1.1 für die alte stable
Distribution (Potato) und in Version 2.5.11-1 für die unstable Distribution
(Sid) behoben.</p>

<p>Wir empfehlen Ihnen, Ihre mhonarc Pakete zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-163.data"
#use wml::debian::translation-check translation="9bd83223bd6c25b1bc3a5151273a69ff17ffd8ef" maxdelta="1"
# $Id$