Horde ウェブアプリケーションフレームワークに、リモートから攻撃可能な複数 の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Moritz Naumann さんにより、Horde がリモートの攻撃者からログイン中のユ ーザのコンテキスト下で、任意のウェブスクリプトや HTML の挿入を許すこ とが発見されました (クロスサイトスクリプティング)。
この欠陥は旧安定版 (sarge) のみに影響があります。
Moritz Naumann さんにより、Horde が画像プロキシを適切に制限していない ため、サーバをプロキシとして利用可能であることが発見されました。
この欠陥は旧安定版 (sarge) のみに影響があります。
Marc Ruef さんにより、Horde がリモートの攻撃者から他のサイトのウェブ ページを含めることを許すため、フィッシング攻撃に悪用される恐れがある ことが発見されました。
この欠陥は旧安定版 (sarge) のみに影響があります。
Moritz Naumann さんにより、Horde がリモートの攻撃者からログイン中のユ ーザのコンテキスト下で、任意のウェブスクリプトや HTML の挿入を許すこ とが発見されました (クロスサイトスクリプティング)。
この欠陥は安定版 (etch) と、旧安定版 (sarge) の両方に影響します。
iDefense 社により、Horde のクリーンアップスクリプトにより、ローカルユ ーザが任意のファイルを削除可能であることが発見されました。
この欠陥は旧安定版 (sarge) のみに影響があります。
旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は バージョン 3.0.4-4sarge6 で修正されています。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 3.1.3-4etch1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 3.1.4-1 で修正されています。
直ぐに horde3 パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。