Bulletin d'alerte Debian

DLA-2564-1 php-horde-text-filter -- Mise à jour de sécurité pour LTS

Date du rapport :
18 février 2021
Paquets concernés :
php-horde-text-filter
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 982769.
Dans le dictionnaire CVE du Mitre : CVE-2021-26929.
Plus de précisions :

Alex Birnberg a découvert une vulnérabilité de script intersite (XSS) dans le cadriciel d’applications Horde, plus précisément dans son API Text Filter. Un attaquant pourrait contrôler la boîte aux lettres de l’utilisateur en envoyant un courriel contrefait.

  • CVE-2021-26929

    Un problème d’XSS a été découvert dans Horde Groupware Webmail Edition (dans laquelle la bibliothèque Horde_Text_Filter est utilisée). Un attaquant peut envoyer un message de courriel en texte simple, avec du JavaScript encodé sous forme de lien, ou un courriel mal géré par le préprocesseur dans Text2html.php parce que l’utilisation personnalisée de \x00\x00\x00 et \x01\x01\x01 interfère avec les défenses XSS.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 2.3.5-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets php-horde-text-filter.

Pour disposer d'un état détaillé sur la sécurité de php-horde-text-filter, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/php-horde-text-filter.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.