Bulletin d'alerte Debian
DSA-1470-1 horde3 -- Vérifications d'entrées insuffisantes
- Date du rapport :
- 20 janvier 2008
- Paquets concernés :
- horde3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2007-6018.
- Plus de précisions :
-
Ulf Härnhammar a découvert que le filtre HTML de l'environnement d'application sur la Toile Horde ne réalisait pas de vérifications suffisantes des entrées. Cela peut conduire à l'effacement de courriels si on peut forcer un utilisateur à regarder un courriel mal formé dans le client Imp.
Cette mise à jour fournit également des rétroportages de correctifs du filtre de scripts intersites et de l'interface de programmation d'applications de gestion des utilisateurs venant de la dernière version 3.1.6 de Horde.
L'ancienne distribution stable (Sarge) n'est pas affectée. Une mise à jour vers Etch est cependant recommandée.
Pour la distribution stable (Etch), ce problème a été corrigé dans la version 3.1.3-4etch2.
Nous vous recommandons de mettre à jour votre paquet horde3.
- Corrigé dans :
-
Debian GNU/Linux 4.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.