Bulletin d'alerte Debian

DSA-1765-1 horde3 -- Plusieurs vulnérabilités

Date du rapport :
8 avril 2009
Paquets concernés :
horde3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 513265, Bogue 512592, Bogue 492578.
Dans le dictionnaire CVE du Mitre : CVE-2009-0932, CVE-2008-3330, CVE-2008-5917.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Horde 3, l'environnement d'application web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-0932

    Gunnar Wrobel a découvert une vulnérabilité de traversée de répertoires. Cela permet aux attaquants d'inclure et exécuter des fichiers locaux arbitraires à l'aide du paramètre driver dans Horde_Image.

  • CVE-2008-3330

    Un attaquant pourrait réaliser une attaque par script intersite à l'aide du nom de contact. Cela permet aux attaquants d'injecter du code HTML arbitraire. Cela nécessite que l'attaquant ait accès pour créer des contacts.

  • CVE-2008-5917

    Le filtre XSS de Horde est prédisposé à une attaque par script intersite. Cela permet aux attaquants d'injecter du code HTML arbitraire. Ce n'est exploitable qu'en utilisant Internet Explorer.

Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 3.1.3-4etch5.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.2.2+debian0-2, qui a déjà été incluse dans la publication de Lenny.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.2+debian0-2.

Nous vous recommandons de mettre à jour vos paquets horde3.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.