Vulnerability Bulletins

int(2627)

Vulnerability Bulletins

Múltiples vulnerabilidades en Horde
Vulnerability classification
Property	Value
Confidence level	Oficial
Impact	Aumento de la visibilidad
Dificulty	Avanzado
Required attacker level	Acceso remoto sin cuenta a un servicio exotico
System information
Property	Value
Affected manufacturer	GNU/Linux
Affected software	Horde Application Framework 3.0.0-3.0.10 Horde Application Framework 3.1.0-3.1.1
Description
Se han descubierto dos vulnerabilidades en Horde Application Framework 3.0.0 hasta 3.0.10 y 3.1.0 hasta 3.1.1. Las vulnerabilidades son descritas a continuación: - CVE-2006-3548: La vulnerabilidad reside en múltiples errores de validación de la entrada. Un atacante remoto podría inyectar código HTML o Web script arbitrario y realizar ataques tipo Cross-Site Scripting mediante una URI javascript o una URI externa http, https, o ftp en el parámetro "url" de "services/go.php", una URI javascript en el parámetro "module" de "services/help", y el parámetro "name" de "services/problem.php". - CVE-2006-3549: La vulnerabilidad reside en que "services/go.php" no restringe la funcionalidad de proxy. Un atacante remoto podría realizar ataques "Web tunneling" y usar el servidor como proxy mediante URL tipo http, https, y ftp en el parámetro "url".
Solution
Actualización de software Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. Debian (DSA 1406-1) Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge6_all.deb Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.dsc http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1.diff.gz http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch1_all.deb
Standar resources
Property	Value
CVE	CVE-2006-3548 CVE-2006-3549
BID	18845
Other resources
SUSE Security Advisory (SUSE-SR:2006:019) http://www.novell.com/linux/security/advisories/2006_19_sr.html Debian Security Advisory (DSA 1406-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00184.html

Version history
Version	Comments	Date
1.0	Aviso emitido	2006-08-10
1.1	Aviso emitido por Debian (DSA 1406-1)	2007-11-14

Vulnerability Bulletins

Múltiples vulnerabilidades en Horde

Vulnerability classification

System information

Description

Solution

Standar resources

Other resources

Version history