Bulletin d'alerte Debian

DSA-1770-1 imp4 -- Vérification insuffisante des entrées

Date du rapport :
13 avril 2009
Paquets concernés :
imp4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 500114, Bogue 500553, Bogue 513266.
Dans le dictionnaire CVE du Mitre : CVE-2008-4182, CVE-2009-0930.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans IMP 4, le composant de messagerie web pour le cadre d'applications Horde. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2008-4182

    IMP 4 est vulnérable à une attaque de script intersite (XSS) par l'intermédiaire du champ utilisateur d'une session IMAP. Cela permet aux attaquants d'injecter du code HTML arbitraire.

  • CVE-2009-0930

    IMP 4 est prédisposé à plusieurs attaques de script intersite (XSS) par plusieurs moyens dans le code du courrier permettant aux attaquants d'injecter du code HTML arbitraire.

Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 4.1.3-4etch1.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 4.2-4, qui a déjà été incluse dans la publication de Lenny.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2-4.

Nous vous recommandons de mettre à jour vos paquets imp4.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/i/imp4/imp4_4.1.3-4etch1.dsc
http://security.debian.org/pool/updates/main/i/imp4/imp4_4.1.3.orig.tar.gz
http://security.debian.org/pool/updates/main/i/imp4/imp4_4.1.3-4etch1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/imp4/imp4_4.1.3-4etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.