漏洞信息详情
Horde IMP及Groupware Webmail Edition多个输入验证漏洞
- CNNVD编号:CNNVD-200801-186
- 危害等级: 高危
- CVE编号: CVE-2007-6018
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2008-01-11
- 威胁类型: 远程
- 更新时间: 2009-04-01
- 厂 商: horde
- 漏洞来源: Ulf Harnhammar※ ul...
漏洞简介
IMP是一款基于Web的强大的邮件程序,它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。
IMP在处理HTML的数据时存在漏洞,远程攻击者可能利用此漏洞非授权操作邮件。
IMP Webmail客户端和Groupware Webmail Edition的HTML过滤器没有过滤掉<frame>和<frameset> HTML单元,此外这些应用还未经执行有效性检查便允许用户通过HTTP请求执行某些操作,导致通过引用数字ID删除任意数量的邮件消息,或在用户受骗打开恶意HTML邮件时清除所删除的邮件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Horde Groupware Webmail Edition 1.0.3
Horde horde-webmail-1.0.4.tar.gz
http://ftp.horde.org/pub/horde-webmail/horde-webmail-1.0.4.tar.gz
Horde Horde 3.1.5
Horde horde-3.1.6.tar.gz
ftp://ftp.horde.org/pub/horde/horde-3.1.6.tar.gz
参考网址
来源: BID
名称: 27223
链接:http://www.securityfocus.com/bid/27223
来源: MISC
链接:http://secunia.com/secunia_research/2007-102/advisory/
来源: SECUNIA
名称: 34418
链接:http://secunia.com/advisories/34418
来源: SECUNIA
名称: 28020
链接:http://secunia.com/advisories/28020
来源: SUSE
名称: SUSE-SR:2009:007
链接:http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.HTML
来源: MLIST
名称: [announce] 20080110 Horde Groupware Webmail Edition 1.0.4 (final)
链接:http://lists.horde.org/archives/announce/2008/000366.HTML
来源: MLIST
名称: [announce] 20080109 Horde Groupware 1.0.3 (final)
链接:http://lists.horde.org/archives/announce/2008/000365.HTML
来源: cvs.horde.org
链接:http://cvs.horde.org/diff.php/groupware/docs/webmail/CHANGES?r1=1.12&r2=1.12.2.1&ty=h
来源: cvs.horde.org
链接:http://cvs.horde.org/diff.php/groupware/docs/groupware/CHANGES?r1=1.17&r2=1.17.2.1&ty=h
来源: FEDORA
名称: FEDORA-2008-2087
链接:https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00927.HTML
来源: FEDORA
名称: FEDORA-2008-2040
链接:https://www.redhat.com/archives/fedora-package-announce/2008-February/msg00888.HTML
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=428625
来源: XF
名称: horde-impgroupware-filter-security-bypass(39595)
链接:http://xforce.iss.net/xforce/xfdb/39595
来源: DEBIAN
名称: DSA-1470
链接:http://www.debian.org/security/2008/dsa-1470
来源: SECUNIA
名称: 29186
链接:http://secunia.com/advisories/29186
来源: SECUNIA
名称: 29185
链接:http://secunia.com/advisories/29185
来源: SECUNIA
名称: 29184
链接:http://secunia.com/advisories/29184
来源: SECUNIA
名称: 28546
链接:http://secunia.com/advisories/28546
来源: MLIST
名称: [announce] 20080109 Horde 3.1.6 (final)
链接:http://lists.horde.org/archives/announce/2008/000360.HTML
来源:NSFOCUS 名称:11376 链接:http://www.nsfocus.net/vulndb/11376
受影响实体
- Horde Framework:3.1.5
- Horde Groupware_webmail_edition:1.0.3
- Horde Horde:3.1.5
- Horde Imp:4.1.5
补丁
暂无
评论