Bulletin d'alerte Debian

DSA-1406-1 horde3 -- Plusieurs vulnérabilités

Date du rapport :
9 novembre 2007
Paquets concernés :
horde3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 378281, Bogue 383416, Bogue 434045.
Dans le dictionnaire CVE du Mitre : CVE-2006-3548, CVE-2006-3549, CVE-2006-4256, CVE-2007-1473, CVE-2007-1474.
Plus de précisions :

Plusieurs vulnérabilités à distante ont été découvertes dans la bibliothèque d'application sur la Toile Horde. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2006-3548

    Moritz Naumann a découvert que Horde permettait à des attaquants distants d'injecter un script web ou du HTML arbitraire dans le contexte d'une session d'un utilisateur connecté (attaque par script intersite).

    Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).

  • CVE-2006-3549

    Moritz Naumann a découvert que Horde ne restreignait par correctement l'accès à son mandataire d'images. Cela permet à des attaquants distants d'utiliser le serveur comme mandataire.

    Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).

  • CVE-2006-4256

    Marc Ruef a découvert que Horde permettait à des attaquants distants d'inclure des pages d'autres sites. Cela peut être utile pour des attaques par hameçonnage.

    Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).

  • CVE-2007-1473

    Moritz Naumann a découvert que Horde permettait à des attaquants distants d'injecter un script web ou du HTML arbitraire dans le contexte d'une session d'un utilisateur connecté (attaque par script intersite).

    Cette vulnérabilité s'applique à l'ancienne distribution stable (Sarge) ainsi qu'à la distribution stable (Etch).

  • CVE-2007-1474

    iDefense a découvert que le script de nettoyage automatique de Horde permettait à des utilisateurs locaux d'effacer des fichiers arbitraires.

    Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).

Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 3.0.4-4sarge6.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.1.3-4etch1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.1.4-1.

Nous vous recommandons de mettre à jour votre paquet horde3.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6_all.deb

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.