中国网管联盟

搜索

热门标签

发表文章 返回首页
当前位置: bitsCN.com > 网络攻防 > 安全漏洞 > Other >

Horde MIME附件文件名跨站脚本漏洞

时间:2008-09-25 08:30来源:中国网管联盟 作者:bitsCN整理 点击:
发布日期:2008-09-10 更新日期:2008-09-22 受影响系统: Horde Horde 3.2.x 不受影响系统: Horde Horde 3.2.2 描述: -------------------------------------------------------------------------------- BUGTR
  

发布日期:2008-09-10
更新日期:2008-09-22 网管联盟www.bitsCN.com

受影响系统:
Horde Horde 3.2.x
不受影响系统:
Horde Horde 3.2.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 31110
CVE(CAN) ID: CVE-2008-3823 54ne.com

Horde Framework是个以PHP为基础的架构,用来创建网络应用程式。 网管网bitsCN_com

Horde的MIME库MIME/MIME/Contents.php的文件中存在跨站脚本漏洞,如果用户受骗查看了邮件消息中带有恶意文件名的MIME附件的话,就可能导致注入并执行任意脚本或HTML。

网管网bitsCN.com

<*来源:Alexios Fakos
 
  链接:http://secunia.com/advisories/31842
        http://marc.info/?l=horde-announce&m=122104360019867&w=2
        http://www.debian.org/security/2008/dsa-1642
*> 中国网管联盟www.bitscn.com

建议:
--------------------------------------------------------------------------------
厂商补丁: 中国网管联盟www.bitscn.com

Debian
------
Debian已经为此发布了一个安全公告(DSA-1642-1)以及相应补丁:
DSA-1642-1:New horde3 packages fix cross site scripting
链接:http://www.debian.org/security/2008/dsa-1642

中国网管论坛bbs.bitsCN.com

补丁下载: 中国网管联盟www、bitsCN、com

Source archives: 网管网bitsCN_com

http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc
Size/MD5 checksum:     1076 2f84d0bcc79176fd975a2e33402c1a3f
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Size/MD5 checksum:  5232958 fbc56c608ac81474b846b1b4b7bb5ee7
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz
Size/MD5 checksum:    13225 c1a2fd542348e7b1110dd76b3077620b 中国网管联盟www_bitscn_com

Architecture independent packages:

网管网bitsCN.com

http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb
Size/MD5 checksum:  5259800 6a9bee45882c4613788e7f51648ca24b

中国网管联盟www.bitscn.com

补丁安装方法:

中国网管联盟www.bitscn.com

1. 手工安装补丁包:

54com.cn

  首先,使用下面的命令来下载补丁软件:
  # wget url  (url是补丁下载链接地址) 网管联盟www.bitsCN.com

  然后,使用下面的命令来安装补丁: 
  # dpkg -i file.deb (file是相应的补丁名) 中国网管论坛bbs.bitsCN.com

2. 使用apt-get自动安装补丁包: 中国网管联盟www、bitsCN、com

   首先,使用下面的命令更新内部数据库:
   # apt-get update
  
   然后,使用下面的命令安装更新软件包:
   # apt-get upgrade 网管联盟www.bitsCN.com

Horde
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 中国网管联盟www.bitscn.com

ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz
http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz
 中国网管联盟www.bitscn.com


顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
发布者资料
admin 查看详细资料 发送留言 加为好友 用户等级:注册会员 注册时间:2008-05-08 23:05 最后登录:2009-01-06 01:01
推荐内容
热点内容

Copyright ©1999-2008 中国网管联盟/网管网 版权所有. 网管必上的网站 沪ICP证05002360号