Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2204-1 imp4

Bulletin d'alerte Debian

DSA-2204-1 imp4 -- Vérification d'entrée manquante

Date du rapport :

27 mars 2011

Paquets concernés :

imp4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 598584.
Dans le dictionnaire CVE du Mitre : CVE-2010-3695.

Plus de précisions :

Moritz Naumann a découvert qu'IMP 4, un composant de webmail pour le cadre de travail Horde, est prédisposé aux attaques par script intersite à cause d'un manque de vérification d'entrée de certaines informations de Fetchmail.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 4.2-4lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.3.7+debian0-2.1, qui a déjà été incluse dans la publication de squeeze.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 4.3.7+debian0-2.1.

Nous vous recommandons de mettre à jour vos paquets imp4.