Bulletin d'alerte Debian
DSA-1966-1 horde3 -- Vérification d'entrée manquante
- Date du rapport :
- 7 janvier 2010
- Paquets concernés :
- horde3
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-3237, CVE-2009-3701, CVE-2009-4363.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Horde 3, l'environnement de développement d'application web Horde. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-3237
Horde 3 est prédisposé aux attaques par script intersite à l'aide de préférences de nombre contrefaites ou de parties de texte MIME en ligne lors de l'utilisation de text/plain comme type MIME. Pour Lenny, ce problème a déjà été résolu, mais l'affichage de texte en ligne a été désactivé dans le fichier de configuration comme précaution de sécurité supplémentaire.
- CVE-2009-3701
L'interface d'administration de Horde 3 est prédisposée aux attaques par script intersite à cause de l'utilisation de la variable PHP_SELF. Ce problème ne peut être exploité que par des administrateurs authentifiés.
- CVE-2009-4363
Horde 3 est prédisposé à plusieurs attaques par script intersite à l'aide de valeurs data:text/html contrefaites dans les messages HTML.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 3.2.2+debian0-2+lenny2.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 3.1.3-4etch7.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.3.6+debian0-1.
Nous vous recommandons de mettre à jour vos paquets horde3.
- CVE-2009-3237
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.