Säkerhetsbulletin från Debian

DSA-1642-1 horde3 -- serveröverskridande skript

Rapporterat den:

2008-09-20

Berörda paket:

horde3

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2008-3823.

Ytterligare information:

Will Drewry upptäckte att Horde gjorde det möjligt för angripare utifrån att sända e-post med ett skräddarsytt filnamnsattribut i en MIME-bilaga och därigenom utföra serveröverskridande skript.

För den stabila utgåvan (Etch) har detta problem rättats i version 3.1.3-4etch4.

För uttestningsutgåvan (lenny) har detta problem rättats i version 3.2.1+debian0-2+lenny1.

För den instabila utgåvan (Sid), kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar ert horde3-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz; http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.