Рекомендация Debian по безопасности
DSA-1966-1 horde3 -- недостаточная очистка входных данных
- Дата сообщения:
- 07.01.2010
- Затронутые пакеты:
- horde3
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2009-3237, CVE-2009-3701, CVE-2009-4363.
- Более подробная информация:
-
В horde3, инфраструктуре веб-приложений horde, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2009-3237
Было обнаружено, что инфраструктура horde3 уязвима к межсайтовому скриптингу с помощью специально сформированных настроек чисел или встроенных текстовых частей MIME в случае использования text/plain в качестве типа MIME. В lenny эта проблема уже была исправлена, но в качестве дополнительной предосторожности в файле настроек было отключено отображение встроенного текста.
- CVE-2009-3701
Было обнаружено, что интерфейс администратора horde3 уязвим к межсайтовому скриптингу из-за использования переменной PHP_SELF. Эта проблема может использоваться только аутентифицированными администраторами.
- CVE-2009-4363
Было обнаружено, что инфраструктура horde3 уязвима к нескольким случаям межсайтового скриптинга с помощью специально сформированных значений data:text/html в сообщениях HTML.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 3.2.2+debian0-2+lenny2.
В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 3.1.3-4etch7.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.3.6+debian0-1.
Рекомендуется обновить пакеты horde3.
- CVE-2009-3237
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.