Рекомендация Debian по безопасности

DSA-1765-1 horde3 -- многочисленные уязвимости

Дата сообщения:

08.04.2009

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 513265, Ошибка 512592, Ошибка 492578.
В каталоге Mitre CVE: CVE-2009-0932, CVE-2008-3330, CVE-2008-5917.

Более подробная информация:

В horde3, инфраструктуре веб-приложений horde, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

CVE-2009-0932
Гуннар Вробель обнаружил обход каталога, который позволяет злоумышленникам включать и выполнять локальные файлы с помощью параметра движка в Horde_Image.
CVE-2008-3330
Было обнаружено, что злоумышленник может выполнять межсайтовый скриптинг с помощью имени контакта, что позволяет злоумышленникам вводить произвольный код html. Для этого требуется, чтобы злоумышленник имел доступ к созданию контактов.
CVE-2008-5917
Было обнаружено, что XSS-фильтр horde уязвим к межсайтовому скриптингу, что позволяет злоумышленникам вводить произвольный код html. Эта уязвимость может использоваться только в случае использования Internet Explorer.

В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 3.1.3-4etch5.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 3.2.2+debian0-2, которая уже добавлена в выпуск lenny.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.2.2+debian0-2.

Рекомендуется обновить пакеты horde3.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.diff.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.dsc
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.