Debians sikkerhedsbulletin

DSA-1406-1 horde3 -- flere sårbarheder

Rapporteret den:
9. nov 2007
Berørte pakker:
horde3
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 378281, Fejl 383416, Fejl 434045.
I Mitres CVE-ordbog: CVE-2006-3548, CVE-2006-3549, CVE-2006-4256, CVE-2007-1473, CVE-2007-1474.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget webapplikationsframeworket Horde. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2006-3548

    Moritz Naumann opdagede at Horde gjorde det muligt for fjernangribere at sprøjte vilkårligt webskript eller HTML ind i konteksten hørende til en indlogget brugers session (skripting på tværs af servere, cross site scripting).

    Denne sårbarhed gælder kun den gamle stabile distribution (sarge).

  • CVE-2006-3549

    Moritz Naumann opdagede at Horde ikke på korrekt vis begrænsede adgangen til sin billedproxy, hvilket gjorde det muligt for fjernangribere at anvende serveren som en proxy.

    Denne sårbarhed gælder kun den gamle stabile distribution (sarge).

  • CVE-2006-4256

    Marc Ruef opdagede at Horde gjorde det muligt for fjernangribere at anvende andre websteders websider, hvilket kunne være nyttigt i phishing-angreb.

    Denne sårbarhed gælder kun den gamle stabile distribution (sarge).

  • CVE-2007-1473

    Moritz Naumann opdagede at Horde gjorde det muligt for fjernangribere at sprøjte vilkårligt webskript eller HTML ind i konteksten hørende til en indlogget brugers session (skripting på tværs af servere, cross site scripting).

    Denne sårbarhed gælder både den stabile distribution (etch) og den gamle stabile distribution (sarge).

  • CVE-2007-1474

    iDefense opdagede at Hordes cronskript cleanup gjorde det muligt for lokale brugere at slette vilkårlige filer.

    Denne sårbarhed gælder kun den gamle stabile distribution (sarge).

I den gamle stabile distribution (sarge) er disse problemer rettet i version 3.0.4-4sarge6.

I den stabile distribution (etch) er disse problemer rettet i version 3.1.3-4etch1.

I den ustabile distribution (sid) er disse problemer rettet i version 3.1.4-1.

Vi anbefaler at du opgraderer din horde3-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6_all.deb

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.