aboutsummaryrefslogtreecommitdiffstats
path: root/italian/security/2002/dsa-163.wml
blob: e5806766000e4bff3928b1ba788f941179415fba (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

#use wml::debian::translation-check translation="9bd83223bd6c25b1bc3a5151273a69ff17ffd8ef" maintainer="Giuseppe Sacco"
<define-tag description>esecuzione di script su altro sito</define-tag>
<define-tag moreinfo>
<p>Jason Molenda e Hiromitsu Takagi
<a href="http://online.securityfocus.com/archive/1/268455">hanno trovato</a>
un modo per eseguire degli script su altri siti che si basa su un bug di
mhonarc, un convertitore da mail a HTML. Durante la conversione, in alcuni
messaggi di tipo text/html creati in maniera particolare non viene disabilitata
completamente l'esecuzione di eventuali script. Questo problema è stato
risolto dall'autore nella versione 2.5.3</p>

<p>Se si è preoccupati della dicurezza è consigliabile disabilitare il 
supporto di messaggi text/html all'interno dei propri archivi. Non c'è
però la sicurezza totale che la libreria mhtxthtml.pl sia sufficientemente
robusta da impedire altri possibili attacchia via HTML.</p>

<p>Per escludere la gestione HTML si può utilizzare la risorsa MIMEEXCS. Ad esempio:</p>

<pre>
    &lt;MIMEExcs&gt;
    text/html
    text/x-html
    &lt;/MIMEExcs&gt;
</pre>

<p>Il tipo "text/x-html" probabilmente non è più utilizzato, ma è una buona
idea includerlo nella lista perché non si sa mai.</p>

<p>Se si è preoccupati che questo possa bloccare l'intero testo del messaggio
allora si può procedere nel seguente modo, in alternativa al primo:</p>

<pre>
    &lt;MIMEFilters&gt;
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    &lt;/MIMEFilters&gt;
</pre>

<p>Questo fa sì che l'HTML sia trattato come text/plain.</p>

<p>Il problema è stato risolto nella versione 2.5.2-1.1 per la attuale
distribuzione stable (woody), nella versione 2.4.4-1.1 per
la vecchia distribuzione stable (potato) e nella versione 2.5.11-1 per la
distribuzione unstable (sid).</p>

<p>Raccomandiamo di aggiornare i propri pacchetti mhonarc.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-163.data"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy