Debians sikkerhedsbulletin

DSA-1765-1 horde3 -- flere sårbarheder

Rapporteret den:

8. apr 2009

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 513265, Fejl 512592, Fejl 492578.
I Mitres CVE-ordbog: CVE-2009-0932, CVE-2008-3330, CVE-2008-5917.

Yderligere oplysninger:

Flere sårbarheder er opdaget i horde3, webapplikationsframeworket horde. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

CVE-2009-0932
Gunnar Wrobel opdagede en mappegennemløbssårbarhed, der gjorde det muligt for angribere at include og udføre vilkårlige lokale filer gennem driver-parameteret i Horde_Image.
CVE-2008-3330
Man opdagede at en angriber kunne udføre skripter på tværs af websteder gennem kontaktnavnet, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. Det krævede at angribere havde adgang til at oprette kontakter.
CVE-2008-5917
Man opdagede at hordes XSS-filer var sårbar over for udførelse af skripter på tværs af websteder, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. Det var kun udnytbart når Internet Explorer blev anvendt.

I den gamle stabile distribution (etch), er disse problemer rettet i version 3.1.3-4etch5.

I den stabile distribution (lenny), er disse problemer rettet i version 3.2.2+debian0-2, som allerede var med i udgivelsen af lenny.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 3.2.2+debian0-2.

Vi anbefaler at du opgraderer dine horde3-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.diff.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.dsc
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.