Debian セキュリティ勧告

DSA-073-1 imp -- リモートからの3つの攻撃

報告日時:
2001-08-11
影響を受けるパッケージ:
imp
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 3082, BugTraq ID 3083.
Mitre の CVE 辞書: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
詳細:
Horde チームは、IMP (ウェブベースの IMAP メールプログラム) のバージョ ン 2.2.6 をリリースしました。このバージョンは、3つのセキュリティ上の問 題が解決します。リリース情報では、以下のような説明がなされています。
  1. PHPLIB には、攻撃者が配列要素 $_PHPLIB[libdir] に値を設定すること によって他のサーバからスクリプトをロードし、実行することが可能となると いう危険性を持っています。こうした攻撃は、リモートから行われ得るもので す。(Horde 1.2.x は、独自にカスタマイズした PHPLIB を配布しています。こ のバージョンには、現在、この問題を防ぐようにパッチがあてられています。)
  2. 攻撃者は、"javascript:" の巧妙なエンコーディングにより、攻撃者によっ て送りつけられたメールを読むユーザのブラウザ内で悪意ある JavaScript を 実行させることができます。(IMP 2.2.x では、こうしたパターンの多くをフィ ルタできます。以前フィルタをすり抜けることのできた新手のパターンも、現 在はブロックすることができます。)
  3. 悪意あるユーザは、誰からでも読み込み可能な "prefs.lang" というファ イルを Apache/PHP サーバ上に作成し、PHP コードとして実行させることがで きます。それによって、PHP の設定ファイルや、接続や設定に関する情報を保 存するデータベースの読み込みおよび変更に使われる Horde データベースの パスワードが読まれてしまいます。リモートから直接 Apache/PHP/IMP 経由で このような攻撃が仕掛けられることはないと考えられます。しかし、サーバへ のシェルアクセスや他の手段 (例えば FTP) によってこのファイルが作成され る可能性があります。

この問題は、バージョン 2:2.2.6-0.potato.1 では修正されています。 horde パッケージも同期してアップデートすることが必要なの で、ご注意ください。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。