发布日期：2002-04-18
更新日期：2002-04-25

受影响系统：

MHonArc MHonArc 2.5.2
MHonArc MHonArc 2.5.1
MHonArc MHonArc 2.5

不受影响系统：

MHonArc MHonArc 2.5.3

描述：

---

BUGTRAQ  ID: 4546
CVE(CAN) ID: CVE-2002-0738

MHonArc是一款PERL语言编写的自动解析HTML形式邮件内容的程序，包括在处理过程中从HTML邮件中过滤有危险性的JavaScript标记等功能。

MHonArc对过滤的内容缺少充分正确的检查，可导致攻击者绕过保护并执行任意脚本代码。

攻击者可以在HTML邮件中插入合法的但变化的脚本标记，可导致绕过MHonArc的解析保护功能，导致任意脚本在用户查看时被执行。

<*来源：TAKAGI, Hiromitsu （takagi.hiromitsu@aist.go.jp）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0260.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要以HTML浏览形式打开邮件。

厂商补丁：

MHonArc
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

MHonArc MHonArc 2.5:

MHonArc Upgrade MHonArc2.5.3.tar.gz
http://www.mhonarc.org/tar/MHonArc2.5.3.tar.gz

MHonArc MHonArc 2.5.1:

MHonArc Upgrade MHonArc2.5.3.tar.gz
http://www.mhonarc.org/tar/MHonArc2.5.3.tar.gz

MHonArc MHonArc 2.5.2:

MHonArc Upgrade MHonArc2.5.3.tar.gz
http://www.mhonarc.org/tar/MHonArc2.5.3.tar.gz

浏览次数：2992
严重程度：0（网友投票）