Risque
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Horde Groupware version 1.1 ;
- Horde Groupware versions 1.0.5 et antérieures ;
- Horde Groupware Webmail Edition version 1.1.
- Horde Groupware Webmail Edition versions 1.0.6 et antérieures ;
- Horde version 3.2 ;
- Horde versions 3.1.7 et antérieures ;
Résumé
Des vulnérabilités dans Horde permettent de réaliser des attaques de type cross-site scripting.
Description
Plusieurs vulnérabilités ont été découvertes dans Horde. Celles-ci permettent de réaliser des attaques de type cross-site scripting. Certaines nécessitent de s'être authentifié au préalable.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de la version 1.0.6 de Horde Groupware du 13 juin 2008 : http://lists.horde.org/archives/announce/2008/000417.html
- Annonce de la version 1.0.7 de Horde Groupware Webmail Edition du 13 juin 2008 : http://lists.horde.org/archives/announce/2008/000418.html
- Annonce de la version 1.1.1 de Horde Groupware Webmail Edition du 14 juin 2008 : http://lists.horde.org/archives/announce/2008/000420.html
- Annonce de la version 1.1.1 de Horde Groupware du 13 juin 2008 : http://lists.horde.org/archives/announce/2008/000419.html
- Annonce de la version 3.1.8 de Horde du 13 juin 2008 : http://lists.horde.org/archives/announce/2008/000415.html
- Annonce de la version 3.2.1 de Horde du 13 juin 2008 : http://lists.horde.org/archives/announce/2008/000416.html
- Bulletin de sécurité Fedora 8 FEDORA-2008-5691 du 25 juin 2008 : http://www.redhat.com/archives/fedora-package-announce/2008-June/msg00959.html
- Bulletin de sécurité Fedora 9 FEDORA-2008-5683 du 25 juin 2008 : http://www.redhat.com/archives/fedora-package-announce/2008-June/msg00954.html
