セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2204-1 imp4

Debian セキュリティ勧告

DSA-2204-1 imp4 -- 入力の不十分なサニタイズ

報告日時:

2011-03-27

影響を受けるパッケージ:

imp4

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 598584.
Mitre の CVE 辞書: CVE-2010-3695.

詳細:

Moritz Naumann さんにより、horde フレームワークのウェブメールコンポ ーネント imp4 で、一部の fetchmail 情報に入力のサニタイズが抜けており、 クロスサイトスクリプティング攻撃を許すという欠陥が発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 4.2-4lenny3 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 4.3.7+debian0-2.1 で修正されています。このバージョンは squeeze のリリース時点で既に収録されていたものです。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 4.3.7+debian0-2.1 で修正されています。

直ぐに imp4 パッケージをアップグレードすることを勧めます。