Debian セキュリティ勧告

DSA-073-1 imp -- リモートからの3つの攻撃

報告日時:

2001-08-11

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 3082, BugTraq ID 3083.
Mitre の CVE 辞書: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.

詳細:

Horde チームは、IMP (ウェブベースの IMAP メールプログラム) のバージョン 2.2.6 をリリースしました。このバージョンは、3つのセキュリティ上の問題が解決します。リリース情報では、以下のような説明がなされています。

PHPLIB には、攻撃者が配列要素 $_PHPLIB[libdir] に値を設定することによって他のサーバからスクリプトをロードし、実行することが可能となるという危険性を持っています。こうした攻撃は、リモートから行われ得るものです。(Horde 1.2.x は、独自にカスタマイズした PHPLIB を配布しています。このバージョンには、現在、この問題を防ぐようにパッチがあてられています。)
攻撃者は、"javascript:" の巧妙なエンコーディングにより、攻撃者によって送りつけられたメールを読むユーザのブラウザ内で悪意ある JavaScript を実行させることができます。(IMP 2.2.x では、こうしたパターンの多くをフィルタできます。以前フィルタをすり抜けることのできた新手のパターンも、現在はブロックすることができます。)
悪意あるユーザは、誰からでも読み込み可能な "prefs.lang" というファイルを Apache/PHP サーバ上に作成し、PHP コードとして実行させることができます。それによって、PHP の設定ファイルや、接続や設定に関する情報を保存するデータベースの読み込みおよび変更に使われる Horde データベースのパスワードが読まれてしまいます。リモートから直接 Apache/PHP/IMP 経由でこのような攻撃が仕掛けられることはないと考えられます。しかし、サーバへのシェルアクセスや他の手段 (例えば FTP) によってこのファイルが作成される可能性があります。

この問題は、バージョン 2:2.2.6-0.potato.1 では修正されています。 horde パッケージも同期してアップデートすることが必要なので、ご注意ください。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc; http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc; http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb; http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。