path: root/russian/security/2010/dsa-1966.wml

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>недостаточная очистка входных данных</define-tag>
<define-tag moreinfo>
<p>В horde3, инфраструктуре веб-приложений horde, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3237">CVE-2009-3237</a>

<p>Было обнаружено, что инфраструктура horde3 уязвима к межсайтовому скриптингу
с помощью специально сформированных настроек чисел или встроенных текстовых частей MIME в
случае использования text/plain в качестве типа MIME.
В lenny эта проблема уже была исправлена, но в качестве дополнительной предосторожности
в файле настроек было отключено отображение встроенного
текста.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3701">CVE-2009-3701</a>

<p>Было обнаружено, что интерфейс администратора horde3 уязвим к
межсайтовому скриптингу из-за использования переменной PHP_SELF.
Эта проблема может использоваться только аутентифицированными администраторами.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-4363">CVE-2009-4363</a>

<p>Было обнаружено, что инфраструктура horde3 уязвима к нескольким случаям межсайтового
скриптинга с помощью специально сформированных значений data:text/html в сообщениях HTML.</p></li>
</ul>

<p>В стабильном выпуске (lenny) эти проблемы были исправлены в
версии 3.2.2+debian0-2+lenny2.</p>

<p>В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в
версии 3.1.3-4etch7.</p>

<p>В тестируемом (squeeze) и нестабильном (sid) выпусках
эти проблемы были исправлены в версии 3.3.6+debian0-1.</p>


<p>Рекомендуется обновить пакеты horde3.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-1966.data"
# $Id$