Debians sikkerhedsbulletin

DSA-073-1 imp -- tre fjernangreb

Rapporteret den:
11. aug 2001
Berørte pakker:
imp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3082, BugTraq-id 3083.
I Mitres CVE-ordbog: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
Yderligere oplysninger:
Horde-teamet har frigivet version 2.2.6 af IMP (et web-baseret IMAP-postprogram) der retter tre sikkerhedsproblemer. Deres annoncering beskriver problemerne som følger:
  1. En sårbarhed i PHPLIB gjorde det muligt for en angriber at lægge en værdi i array-elementet $_PHPLIB[libdir], og på den måde hente og udføre scripts fra en anden server. Denne sårbarhed kan udnyttes af en fjernangriber. (Horde 1.2.x distribueres med sin egen tilpassede udgave af PHPLIB, som nu er blevet rettet for at undgå dette problem.)
  2. Ved at anvende snedige "javascript:"-kodninger kan en angriber få udført ondsindet JavaScript-kode i en brugers browser mens brugeren læser e-mail sendt af angriberen. (IMP 2.2.x bortfiltrerer allerede mange sådanne tegnkombinationer; flere nye som slap igennem filtrene bliver nu blokeret.)
  3. En fjendtligt indstillet bruger kan et eller andet sted på Apache/PHP-serveren oprette en fil ved navn "prefs.lang" som alle kan læse, hvilket kan medføre at filen udføres som PHP-kode. IMP-konfigurationsfilerne kunne dermed læses, og Horde-databasens kodeord benyttes til at læse og ændre databasen der bruges til at gemme kontakter og indstillinger, osv. Vi mener ikke at dette muliggør et fjernangreb direkte gennem Apache/PHP/IMP; men shell-adgang til serveren, eller andre muligheder (f.eks. ftp) kan benyttes til at oprette denne fil.

Dette er rettet i version 2:2.2.6-0.potato.1. Bemærk at du også er nødt til at opgradere horde-pakke til samme version.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.