Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Horde 3 |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Horde 3 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Horde 3. Las vulnerabilidades se describen a continuación: - CVE-2009-3237: Se han descubierto múltples Cross-Site Scripting. Las vulnerabilidades reside en errores en el fichero "services/prefs.php". Un atacante remoto podría inyectar código HTML o script arbitrario. - CVE-2009-3701: Se han descubierto múltples Cross-Site Scripting. Un atacante remoto podría inyectar código HTML o script arbitrario mediante el parámetro "PATH_INFO" en "phpshell.php", "cmdshell.php", o "sqlshell.php" en "admin/". - CVE-2009-4363: Se ha descubierto una vulnerabilidad en "Text_Filter/lib/Horde/Text/Filter/Xss.php". Un atacante remoto podría provocar ataques de Cross-Site Scripting mediante los valores "data:text/html" para el atributo HREF de un elemente de enlace A en un mensaje de correo HTML. |
|
Solución |
|
Actualización de software Debian (DSA-1966-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch7_all.deb Debian (DSA-1966-1) Debian Linux 5.0 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/h/horde3/horde3_3.2.2+debian0-2+lenny2_all.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2009-3237 CVE-2009-3701 CVE-2009-4363 |
BID | |
Recursos adicionales |
|
Debian Security Advisory (DSA-1966-1) http://lists.debian.org/debian-security-announce/2010/msg00001.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2010-01-15 |
1.1 | Aviso emitido por Suse (SUSE-SA:2010:004) | 2010-03-01 |