aboutsummaryrefslogtreecommitdiffstats
path: root/german/security/2001/dsa-073.wml
blob: bc89f72294317286c9417d593db66e451697cce3 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

<define-tag description>Drei entfernte Angriffe</define-tag>
<define-tag moreinfo>
Das Horde-Team hat die Version 2.2.6 von IMP veröffentlicht (einem
web-basierten IMAP-E-Mail-Programm), die drei Sicherheitsprobleme
behebt. Ihre Release-Ankündigung beschreibt sie wie folgt:

<ol>

<li> Eine Verwundbarkeit in PHPLIB gestattete es einem Angreifer,
     einen Wert für das Array-Element $_PHPLIB[libdir] zu liefern, und
     so Skripte von einem anderen Server zu laden und auszuführen.
     Diese Verwundbarkeit kann aus der Ferne ausgenutzt werden.
     (Horde 1.2.x verwendet seine eigene speziell angepasste Version
     von PHPLIB, die jetzt angepasst wurde, um dieses Problem zu
     verhindern.)</li>

<li> Durch trickreiche Kodierung von <q>javascript:</q> ist es einem
     Angreifer möglich, böswilligen JavaScript-Code im Browser eines
     Benutzers ausführen zu lassen, der E-Mails vom Angreifer liest. (IMP
     2.2.x filtert bereits viele solcher Muster, viele neue, die durch
     die Maschen rutschten, werden jetzt ebenfalls blockiert.)</li>

<li> Ein feindlicher Benutzer, der irgendwo eine öffentlich lesbare
     Datei namens <q>prefs.lang</q> irgendwo auf dem Apache/PHP-Server
     anlegen kann, kann verursachen, dass die Datei als PHP-Code
     ausgeführt wird. Die Konfigurationsdateien von IMP können daher
     gelesen werden, ebenso das Datenbankpasswort von Horde, das zum
     Lesen und Verändern der Datenbank benutzt wird, in der Kontakte
     und Einstellungen gespeichert werden etc. Wir glauben nicht, dass
     dieses aus der Ferne ausgenutzt werden kann; Shell-Zugang zu dem
     Server auf anderem Wege (z.B. FTP) kann jedoch benutzt werden, um
     die Datei anzulegen.</li>

</ol>

<p>Dies wurde behoben in der Version 2:2.2.6-0.potato.1. Bitte
beachten Sie, dass Sie ebenfalls das <code>horde</code>-Paket zur
gleichen Version aktualisieren müssen.
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-073.data"
#use wml::debian::translation-check translation="9a99575c062127918f3281c8b6dae250900185a5" mindelta="1"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy