1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
<define-tag description>Drei entfernte Angriffe</define-tag>
<define-tag moreinfo>
Das Horde-Team hat die Version 2.2.6 von IMP veröffentlicht (einem
web-basierten IMAP-E-Mail-Programm), die drei Sicherheitsprobleme
behebt. Ihre Release-Ankündigung beschreibt sie wie folgt:
<ol>
<li> Eine Verwundbarkeit in PHPLIB gestattete es einem Angreifer,
einen Wert für das Array-Element $_PHPLIB[libdir] zu liefern, und
so Skripte von einem anderen Server zu laden und auszuführen.
Diese Verwundbarkeit kann aus der Ferne ausgenutzt werden.
(Horde 1.2.x verwendet seine eigene speziell angepasste Version
von PHPLIB, die jetzt angepasst wurde, um dieses Problem zu
verhindern.)</li>
<li> Durch trickreiche Kodierung von <q>javascript:</q> ist es einem
Angreifer möglich, böswilligen JavaScript-Code im Browser eines
Benutzers ausführen zu lassen, der E-Mails vom Angreifer liest. (IMP
2.2.x filtert bereits viele solcher Muster, viele neue, die durch
die Maschen rutschten, werden jetzt ebenfalls blockiert.)</li>
<li> Ein feindlicher Benutzer, der irgendwo eine öffentlich lesbare
Datei namens <q>prefs.lang</q> irgendwo auf dem Apache/PHP-Server
anlegen kann, kann verursachen, dass die Datei als PHP-Code
ausgeführt wird. Die Konfigurationsdateien von IMP können daher
gelesen werden, ebenso das Datenbankpasswort von Horde, das zum
Lesen und Verändern der Datenbank benutzt wird, in der Kontakte
und Einstellungen gespeichert werden etc. Wir glauben nicht, dass
dieses aus der Ferne ausgenutzt werden kann; Shell-Zugang zu dem
Server auf anderem Wege (z.B. FTP) kann jedoch benutzt werden, um
die Datei anzulegen.</li>
</ol>
<p>Dies wurde behoben in der Version 2:2.2.6-0.potato.1. Bitte
beachten Sie, dass Sie ebenfalls das <code>horde</code>-Paket zur
gleichen Version aktualisieren müssen.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-073.data"
#use wml::debian::translation-check translation="9a99575c062127918f3281c8b6dae250900185a5" mindelta="1"
# $Id$
|