Säkerhetsbulletin från Debian

DSA-073-1 imp -- tre fjärrsårbarheter

Rapporterat den:
2001-08-11
Berörda paket:
imp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3082, BugTraq-id 3083.
I Mitres CVE-förteckning: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
Ytterligare information:
Horde-laget släppte version 2.2.6 av IMP (ett webbaserat IMAP-e-postprogram) vilket rättar tre säkerhetsproblem. Deras utgåvekungörelse beskriver dem såsom följer:
  1. En sårbarhet i PHPLIB gjorde det möjligt för en angripare att ge ett värde för fältposten $_PHPLIB[libdir], och därmed få skript från andra servrar att laddas och exekveras. Denna sårbarhet kan utnyttjas utifrån. (Horde 1.2.x kommer med en egen skräddarsydd version av PHPLIB vilken nu har patchats för att rätta detta problem)
  2. Genom att använda kluriga kodningar i "javascript:" kan en angripare få illvillig JavaScript-kod att exekvera i webbläsaren hos en användare som läser e-post sänt av angriparen. (IMP 2.2.x filtrerar redan många sådana mönster; flera nya som tidigare gick genom filtren är nu blockerade)
  3. En fientlig användare som kan skapa en allmänt läsbar fil vid namn "prefs.lang" någonstans på Apache/PHP-servern kan få den filen att exekveras som PHP-kod. IMP-konfigurationsfiler kunde därmed läsas, och databaslösenordet för Horde användas för att läsa och ändra databasen som används för att lagra kontakter och inställningar, osv. Vi tror inte att detta kan utnyttjas utifrån direkt genom Apache/PHP/IMP, men skaltillgång till servern, eller andra åtkomstsätt (t.ex FTP) kan användas för att skapa denna fil.

Detta har rättats i version 2:2.2.6-0.potato.1. Notera att du även måste uppgradera paketet horde till samma version.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.