Debians sikkerhedsbulletin
DSA-1966-1 horde3 -- utilstrækkelig fornuftighedskontrol af inddata
- Rapporteret den:
- 7. jan 2010
- Berørte pakker:
- horde3
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-3237, CVE-2009-3701, CVE-2009-4363.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i horde3, webapplikationsframeworket horde. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-3237
Man opdagede at horde3 er sårbar over for udførelse af skripter på tværs af websteder gennem fabrikerede talegenskaber eller inline-MIME-tekstdele, når der blev anvendt text/plain som MIME-type. I lenny er dette problem allerede løst, men som en ekstra sikkerhedsforanstaltning, er visning af inline-tekst blevet deaktiveret i opsætningsfilen.
- CVE-2009-3701
Man opdagede at den administrativegrænseflade i horde3 er sårbar over for udførelse af skripter på tværs af websteder, på grund af anvendelse af variablen PHP_SELF. Problemet kan kun udnyttes af autentificerede administratorer.
- CVE-2009-4363
Man har opdaget, at horde3 er sårbar over for flere tilfælde af udførelse af skripter på tværs af websteder gennem fabrikerede data:text/html-værdier i HTML-meddelelser.
I den stabile distribution (lenny), er disse problemer rettet i version 3.2.2+debian0-2+lenny2.
I den gamle stabile distribution (etch), er disse problemer rettet i version 3.1.3-4etch7.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 3.3.6+debian0-1.
Vi anbefaler at du opgraderer dine horde3-pakker.
- CVE-2009-3237
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.