Plusieurs vulnérabilités à distante ont été découvertes dans la bibliothèque d'application sur la Toile Horde. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Moritz Naumann a découvert que Horde permettait à des attaquants distants d'injecter un script web ou du HTML arbitraire dans le contexte d'une session d'un utilisateur connecté (attaque par script intersite).
Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).
Moritz Naumann a découvert que Horde ne restreignait par correctement l'accès à son mandataire d'images. Cela permet à des attaquants distants d'utiliser le serveur comme mandataire.
Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).
Marc Ruef a découvert que Horde permettait à des attaquants distants d'inclure des pages d'autres sites. Cela peut être utile pour des attaques par hameçonnage.
Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).
Moritz Naumann a découvert que Horde permettait à des attaquants distants d'injecter un script web ou du HTML arbitraire dans le contexte d'une session d'un utilisateur connecté (attaque par script intersite).
Cette vulnérabilité s'applique à l'ancienne distribution stable (Sarge) ainsi qu'à la distribution stable (Etch).
iDefense a découvert que le script de nettoyage automatique de Horde permettait à des utilisateurs locaux d'effacer des fichiers arbitraires.
Cette vulnérabilité ne s'applique qu'à l'ancienne distribution stable (Sarge).
Pour l'ancienne distribution stable (Sarge), ces problèmes ont été corrigés dans la version 3.0.4-4sarge6.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.1.3-4etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.1.4-1.
Nous vous recommandons de mettre à jour votre paquet horde3.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.