Debian-Sicherheitsankündigung

DSA-073-1 imp -- Drei entfernte Angriffe

Datum des Berichts:
11. Aug 2001
Betroffene Pakete:
imp
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3082, BugTraq ID 3083.
In Mitres CVE-Verzeichnis: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
Weitere Informationen:
Das Horde-Team hat die Version 2.2.6 von IMP veröffentlicht (einem web-basierten IMAP-E-Mail-Programm), die drei Sicherheitsprobleme behebt. Ihre Release-Ankündigung beschreibt sie wie folgt:
  1. Eine Verwundbarkeit in PHPLIB gestattete es einem Angreifer, einen Wert für das Array-Element $_PHPLIB[libdir] zu liefern, und so Skripte von einem anderen Server zu laden und auszuführen. Diese Verwundbarkeit kann aus der Ferne ausgenutzt werden. (Horde 1.2.x verwendet seine eigene speziell angepasste Version von PHPLIB, die jetzt angepasst wurde, um dieses Problem zu verhindern.)
  2. Durch trickreiche Kodierung von javascript: ist es einem Angreifer möglich, böswilligen JavaScript-Code im Browser eines Benutzers ausführen zu lassen, der E-Mails vom Angreifer liest. (IMP 2.2.x filtert bereits viele solcher Muster, viele neue, die durch die Maschen rutschten, werden jetzt ebenfalls blockiert.)
  3. Ein feindlicher Benutzer, der irgendwo eine öffentlich lesbare Datei namens prefs.lang irgendwo auf dem Apache/PHP-Server anlegen kann, kann verursachen, dass die Datei als PHP-Code ausgeführt wird. Die Konfigurationsdateien von IMP können daher gelesen werden, ebenso das Datenbankpasswort von Horde, das zum Lesen und Verändern der Datenbank benutzt wird, in der Kontakte und Einstellungen gespeichert werden etc. Wir glauben nicht, dass dieses aus der Ferne ausgenutzt werden kann; Shell-Zugang zu dem Server auf anderem Wege (z.B. FTP) kann jedoch benutzt werden, um die Datei anzulegen.

Dies wurde behoben in der Version 2:2.2.6-0.potato.1. Bitte beachten Sie, dass Sie ebenfalls das horde-Paket zur gleichen Version aktualisieren müssen.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.