Flere sårbarheder er opdaget i horde3, webapplikationsframeworket horde. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
Gunnar Wrobel opdagede en mappegennemløbssårbarhed, der gjorde det muligt for angribere at include og udføre vilkårlige lokale filer gennem driver-parameteret i Horde_Image.
Man opdagede at en angriber kunne udføre skripter på tværs af websteder gennem kontaktnavnet, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. Det krævede at angribere havde adgang til at oprette kontakter.
Man opdagede at hordes XSS-filer var sårbar over for udførelse af skripter på tværs af websteder, hvilket gjorde det muligt for angribere at indsprøjte vilkårlig HTML-kode. Det var kun udnytbart når Internet Explorer blev anvendt.
I den gamle stabile distribution (etch), er disse problemer rettet i version 3.1.3-4etch5.
I den stabile distribution (lenny), er disse problemer rettet i version 3.2.2+debian0-2, som allerede var med i udgivelsen af lenny.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 3.2.2+debian0-2.
Vi anbefaler at du opgraderer dine horde3-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.