发布日期：2008-09-10
更新日期：2008-09-22

受影响系统：

Horde Horde 3.2.x

不受影响系统：

Horde Horde 3.2.2

描述：

---

BUGTRAQ  ID: 31110
CVE(CAN) ID: CVE-2008-3823

Horde Framework是个以PHP为基础的架构，用来创建网络应用程式。

Horde的MIME库MIME/MIME/Contents.php的文件中存在跨站脚本漏洞，如果用户受骗查看了邮件消息中带有恶意文件名的MIME附件的话，就可能导致注入并执行任意脚本或HTML。

<*来源：Alexios Fakos
  
  链接：http://secunia.com/advisories/31842
        http://marc.info/?l=horde-announce&m=122104360019867&w=2
        http://www.debian.org/security/2008/dsa-1642
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1642-1）以及相应补丁:
DSA-1642-1：New horde3 packages fix cross site scripting
链接：http://www.debian.org/security/2008/dsa-1642

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc
Size/MD5 checksum:     1076 2f84d0bcc79176fd975a2e33402c1a3f
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz
Size/MD5 checksum:  5232958 fbc56c608ac81474b846b1b4b7bb5ee7
http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz
Size/MD5 checksum:    13225 c1a2fd542348e7b1110dd76b3077620b

Architecture independent packages:

http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb
Size/MD5 checksum:  5259800 6a9bee45882c4613788e7f51648ca24b

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Horde
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz
http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz

浏览次数：2428
严重程度：0（网友投票）