Рекомендация Debian по безопасности
DSA-1470-1 horde3 -- отсутствие очистки ввода
- Дата сообщения:
- 20.01.2008
- Затронутые пакеты:
- horde3
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2007-6018.
- Более подробная информация:
-
Ульф Хэрнхаммар обнаружил, что фильтр HTML из инфраструктуры веб-приложений Horde, выполняет недостаточную очистку вводных данных, что может приводить к удалению сообщений электронной почты в случае, когда пользователь открывает специально сформированное сообщение электронной почты с помощью клиента Imp.
Кроме того, данное обновление предоставляет перенесённые назад исправления фильтра межсайтового скриптинга и API управления пользователями из последнего выпуска Horde версии 3.1.6.
Предыдущий стабильный выпуск (sarge) не подвержен данной проблеме. Тем не менее, рекомендуется выполнить обновление до выпуска Etch.
В стабильном выпуске (etch) эта проблема была исправлена в версии 3.1.3-4etch2.
Рекомендуется обновить пакет horde3.
- Исправлено в:
-
Debian GNU/Linux 4.0 (stable)
- Исходный код:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.