Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Veille en sécurité informatique

Produits Horde MIME Library et HTML Message : Vulnérabilités d'Insertion de Script


10/09/2008 16H48
Référence Secunia : SA318422008-09-10
Moyennement Critique. Niveau 3 sur 5. veille securite informatique
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Horde Application Framework 3.x
Horde Groupware 1.x
Horde Groupware Webmail Edition 1.x


Référence CVE :
CVE-2008-3823
CVE-2008-3824

Description :
Quelques vulnérabilités ont été identifiées dans des produits divers Horde, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques par insertion de script.

1) L'entrée via MIME attachment linking n'est pas correctement filtrée dans la librairie MIME avant d'être utilisée. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur si par ex. un courriel malicieux est affiché.

Cette vulnérabilité est rapportée en versions inférieures à Horde Groupware Webmail Edition version 1.1.3, Horde Groupware version 1.1.3, et Horde Application Framework version 3.2.2.

2) Une certaine entrée non spécifiée dans HTML messages n'est pas correctement filtrée avant d'être utilisée. Cela pourrait être exploité pour exécuter du HTML arbitraire et script dans une session de navigation d'un utilisateur si par ex. un courriel HTML malicieux est affiché.

Cette vulnérabilité est rapportée en versions inférieures à Horde Groupware Webmail Edition version 1.0.8 et 1.1.3, Horde Groupware version 1.0.7 et 1.1.3, Horde Application Framework version 3.1.9 et 3.2.2.


Solutions :
Mettre à jour pour Horde Groupware Webmail Edition version 1.0.8 ou 1.1.3, Horde Groupware version 1.0.7 ou 1.1.3, Horde Application Framework version 3.1.9 ou 3.2.2.


Vulnérabilité découverte par :

L'éditeur crédite Alexios Fakos.

Référence :
http://marc.info/?l=horde-announce&m=122105459907561&w=2
http://marc.info/?l=horde-announce&m=122105049900311&w=2
http://marc.info/?l=horde-announce&m=122104360019867&w=2
http://marc.info/?l=horde-announce&m=122104782527315&w=2
http://marc.info/?l=horde-announce&m=122104642924629&w=2
http://marc.info/?l=horde-announce&m=122103888111491&w=2






Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080926 Libra File Manager isadmin Contournement de la Sécurité 3
20080910 Produits Horde MIME Library et HTML Message Vulnérabilités d'Insertion de Script 3
20080806 Gentoo mise à jour pour produits Mozilla
20080623 HTML Purifier CSS Cross Site Scripting et Insertion de Script
20080616 Produits Horde Cross Site Scripting et Insertion de Script
20080218 Produits Multiple Horde Contournement de la Sécurité
20070816 Message Board Threaded Discussion Forum Injection SQL
20060707 Horde Vulnérabilités Cross Site Scripting
20060615 Horde Vulnérabilités Cross Site Scripting
20060403 Horde Help Viewer Vulnérabilité d'Exécution de Code
20051212 Horde Vulnérabilités d'Insertion de Script
20051206 Horde IMP Attachments Vulnérabilité d'Insertion de Script
20051123 Horde Vulnérabilités d'Insertion de Script
20051114 Horde Vulnérabilité Cross Site Scripting
20050630 crip Création Non Sécurisée de Fichiers Temporaires
20050425 Horde IMP Parent Frame Page Title Vulnérabilité Cross Site Scripting
20050329 Horde Page Title Vulnérabilité Cross Site Scripting
20050114 Horde url et group Vulnérabilités Cross Site Scripting
20041027 Horde Help Window Vulnérabilité Cross Site Scripting
20040803 Horde IMP Vulnérabilité d'Insertion de Script
20040609 Horde IMP Content Type Header Vulnérabilité d'Insertion de Script
20040505 Message Foundry Reserved DOS Device Name Déni de Service
20030818 Horde Exposure of Session ID
20030716 Message Foundry Vulnérabilités Diverses
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe