Risque
Injection de code indirecte (cross-site scripting).
Systèmes affectés
- Horde Groupeware versions 1.0.6 et antérieures ;
- Horde Groupeware versions 1.1.2 et antérieures ;
- Horde Groupeware Webmail Edition versions 1.0.7 et antérieures ;
- Horde Groupeware Webmail Edition versions 1.1.2 et antérieures ;
- Horde Application Framework versions 3.1.8 et antérieures ;
- Horde Application Framework versions 3.2.2 et antérieures.
Résumé
Plusieurs vulnérabilités sont présentes dans les produits Horde et permettent à un utilisateur distant malintentionné de réaliser des attaques de type « injection de code indirecte » (cross-site scripting).
Description
Deux vulnérabilités sont présentes dans plusieurs produits Horde comme Groupeware, Groupeware Webmail Edition et Application Framework. Ces vulnérabilités sont relatives à la mise en œuvre d'extensions MIME ou bien à la gestion de certains caractères d'échappement. Elles permettent à un utilisateur distant malintentionné de réaliser des attaques de type « injection de code indirecte » (cross-site scripting).
Contournement provisoire
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Horde :
http://marc.info/?l=horde-announce&m=122105459907561&w=2
http://marc.info/?l=horde-announce&m=122105049900311&w=2
http://marc.info/?l=horde-announce&m=122104360019867&w=2
http://marc.info/?l=horde-announce&m=122104782527315&w=2
http://marc.info/?l=horde-announce&m=122104782527315&w=2
http://marc.info/?l=horde-announce&m=122103888111491&w=2
- Bulletin de sécurité de l'oCERT :
http://www.ocert.org/advisories/ocert-2008-012.html
- Référence CVE CVE-2008-3823 :
https://www.cve.org/CVERecord?id=CVE-2008-3823
- Référence CVE CVE-2008-3824 :
https://www.cve.org/CVERecord?id=CVE-2008-3824
