发布日期：2002-12-24
更新日期：2003-01-03

受影响系统：

MHonArc MHonArc 2.5.3
MHonArc MHonArc 2.5.13
MHonArc MHonArc 2.5.12
MHonArc MHonArc 2.5.11
MHonArc MHonArc 2.5.1
MHonArc MHonArc 2.5
MHonArc MHonArc 2.4.4
MHonArc MHonArc 2.5.2
    - Debian Linux 3.0 i386
    - Debian Linux 3.0 sparc
    - Debian Linux 3.0 alpha
    - Debian Linux 3.0 IA-32
    - Debian Linux 3.0 arm
    - Debian Linux 3.0 powerpc
    - Debian Linux 3.0 68k

不受影响系统：

MHonArc MHonArc 2.5.14

描述：

---

BUGTRAQ  ID: 6479
CVE(CAN) ID: CVE-2002-1388

MHonArc是一款PERL语言编写的自动解析HTML形式邮件内容的程序，包括在处理过程中从HTML邮件中过滤有危险性的JavaScript标记等功能。

MHonArc在过滤HTML邮件信息时缺少正确检查，远程攻击者可以利用这个漏洞构建恶意HTML邮件消息，发送给MHonArc系统，可绕过MHonArc使用的HTML过滤技术，产生跨站脚本可执行攻击。

当用户点击包含恶意脚本代码的链接时，可导致基于Cookie认证的信息泄露，或进行其他非法活动。

目前尚无具体漏洞细节。

<*来源：Earl Hood （earl@earlhood.com）
  
  链接：http://www.mhonarc.org/archive/html/mhonarc-users/2002-12/msg00048.html=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 通过在MHonArc配置文件中增加如下指示而关闭HTML支持：

<MIMEExcs>
text/html
text/x-html
</MIMEExcs>

MHonArc 2.4.9版本的需要增加如下代码到配置文件：

<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>

厂商补丁：

MHonArc
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

MHonArc Upgrade MHonArc2.5.14.tar.gz
http://www.mhonarc.org/release/MHonArc/tar/MHonArc2.5.14.tar.gz

浏览次数：2906
严重程度：0（网友投票）