int(2005)

Boletines de Vulnerabilidades


Vulnerabilidad Cross-Site Scripting en Horde3

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Horde < 3.0.7

Descripción

Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en Horde3 versión anterior a 3.0.7. La vulnerabilidad reside en que los scripts de visualización de ficheros gzip/tar "Viewer/tgz.php" y css MIME "Viewer/css.php" no validan correctamente la entrada.

Un atacante remoto podría inyectar código script o HTML arbitrario.

Solución



Actualización de software

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge2.dsc
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge2.diff.gz
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4.orig.tar.gz
Architecture independent
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.0.4-4sarge2_all.deb

Identificadores estándar

Propiedad Valor
CVE CVE-2005-3759
BID 15535

Recursos adicionales

Debian Security Advisory (DSA 909-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00310.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-11-24

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT