Рекомендация Debian по безопасности

DSA-1470-1 horde3 -- отсутствие очистки ввода

Дата сообщения:
20.01.2008
Затронутые пакеты:
horde3
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2007-6018.
Более подробная информация:

Ульф Хэрнхаммар обнаружил, что фильтр HTML из инфраструктуры веб-приложений Horde, выполняет недостаточную очистку вводных данных, что может приводить к удалению сообщений электронной почты в случае, когда пользователь открывает специально сформированное сообщение электронной почты с помощью клиента Imp.

Кроме того, данное обновление предоставляет перенесённые назад исправления фильтра межсайтового скриптинга и API управления пользователями из последнего выпуска Horde версии 3.1.6.

Предыдущий стабильный выпуск (sarge) не подвержен данной проблеме. Тем не менее, рекомендуется выполнить обновление до выпуска Etch.

В стабильном выпуске (etch) эта проблема была исправлена в версии 3.1.3-4etch2.

Рекомендуется обновить пакет horde3.

Исправлено в:

Debian GNU/Linux 4.0 (stable)

Исходный код:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.