Bulletin d'alerte Debian
DSA-073-1 imp -- Trois exploitations à distance
- Date du rapport :
- 11 août 2001
- Paquets concernés :
- imp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 3082, Identifiant BugTraq 3083.
Dans le dictionnaire CVE du Mitre : CVE-2001-1257, CVE-2001-1258, CVE-2001-1370. - Plus de précisions :
-
L'équipe Horde a sorti la version 2.2.6 de IMP (un programme pour lire
son courrier IMAP via le web) qui corrige trois problèmes de sécurité.
Leur annonce de sortie les décrit ainsi :
- Une faille de sécurité PHPLIB autorisait un attaquant à fournir une valeur pour le tableau d'élément $_PHPLIB[libdir] et donc à charger et exécuter les scripts d'un autre serveur. Cette faille de sécurité est exploitable à distance. (Horde 1.2.x offre sa propre version modifiée de PHPLIB qui est maintenant corriger pour se prévenir de ce problème.) ;
- En utilisant des encodages piégeux de
javascript:, un attaquant peut via un JavaScript malveillant l'exécuter dans le navigateur d'un utilisateur lisant le courriel envoyé par l'attaquant. (IMP 2.2.x filtre beaucoup de ce genre de techniques ; plusieurs nouvelles qui passaient au travers sont maintenant bloquées.) ; - Un utilisateur hostile qui peut créer un fichier visible par tout le monde de nom prefs.lang quelque part sur le serveur Apache/PHP peut voir ce fichier être exécuté comme du code PHP. Les fichiers de configuration d'IMP pouvaient donc être lus comme la base de données de mot de passe Horde utilisé et altérer la base de données contenant les contacts et les préférences, etc. Nous ne croyons pas que ce soit exploitable à distance directement via Apache/PHP/IMP ; cependant, un accès au shell sur le serveur ou autre signifie (e.g., FTP) permet de créer ce fichier.
Ceci a été corrigé dans la version 2:2.2.6-0.potato.1. Veuillez noter que vous aurez besoin de mettre à jour le paquet horde à cette version.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
- http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb
- http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.