Bulletin d'alerte Debian

DSA-073-1 imp -- Trois exploitations à distance

Date du rapport :
11 août 2001
Paquets concernés :
imp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 3082, Identifiant BugTraq 3083.
Dans le dictionnaire CVE du Mitre : CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
Plus de précisions :
L'équipe Horde a sorti la version 2.2.6 de IMP (un programme pour lire son courrier IMAP via le web) qui corrige trois problèmes de sécurité. Leur annonce de sortie les décrit ainsi :
  1. Une faille de sécurité PHPLIB autorisait un attaquant à fournir une valeur pour le tableau d'élément $_PHPLIB[libdir] et donc à charger et exécuter les scripts d'un autre serveur. Cette faille de sécurité est exploitable à distance. (Horde 1.2.x offre sa propre version modifiée de PHPLIB qui est maintenant corriger pour se prévenir de ce problème.) ;
  2. En utilisant des encodages piégeux de javascript:, un attaquant peut via un JavaScript malveillant l'exécuter dans le navigateur d'un utilisateur lisant le courriel envoyé par l'attaquant. (IMP 2.2.x filtre beaucoup de ce genre de techniques ; plusieurs nouvelles qui passaient au travers sont maintenant bloquées.) ;
  3. Un utilisateur hostile qui peut créer un fichier visible par tout le monde de nom prefs.lang quelque part sur le serveur Apache/PHP peut voir ce fichier être exécuté comme du code PHP. Les fichiers de configuration d'IMP pouvaient donc être lus comme la base de données de mot de passe Horde utilisé et altérer la base de données contenant les contacts et les préférences, etc. Nous ne croyons pas que ce soit exploitable à distance directement via Apache/PHP/IMP ; cependant, un accès au shell sur le serveur ou autre signifie (e.g., FTP) permet de créer ce fichier.

Ceci a été corrigé dans la version 2:2.2.6-0.potato.1. Veuillez noter que vous aurez besoin de mettre à jour le paquet horde à cette version.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.