hordehorde: Securityfixes for cross site scripting problems.horde: Securityupdate zum Beheben von Cross Site Scripting Problemen.This update fixes the following two security issues in the
Horde Application Framework:
- CVE-2006-3548: Multiple cross-site scripting (XSS)
vulnerabilities allow remote attackers to inject
arbitrary web script or HTML via a (1) javascript URI or
an external (2) http, (3) https, or (4) ftp URI in the
url parameter in services/go.php (aka the dereferrer),
(5) a javascript URI in the module parameter in
services/help (aka the help viewer), and (6) the name
parameter in services/problem.php (aka the problem
reporting screen).
- CVE-2006-3549: services/go.php does not properly restrict
its image proxy capability, which allows remote attackers
to perform "Web tunneling" attacks and use the server as
a proxy via (1) http, (2) https, and (3) ftp URL in the
url parameter, which is requested from the server.
Dieses Update behebt folgende zwei Sicherheitsprobleme im
Horde Applikations Framework:
- CVE-2006-3548: Mehrere Cross Site Scripting (XSS)
Probleme erlauben entfernten Angreifern, beliebige
Scripte oder HTML Code durch eine (1) javascriopt URI
oder eine externe (2) http, (3) https, oder (4) ftp URI
im url Parameter in services/go.php (für den Aufrufer),
(5) eine Javascript URI im module Parameter in
services/help (der Hilfeviewer), und (6) dem name
Parameter in services/problem.php (der Problemreporting
Schirm) zu injizieren.
- CVE-2006-3549: services/go.php schränkt nicht seine Bild
Proxy Fähigkeiten ein, was entfernten Angreifern
erlaubtm, "Web tunneling" Attacken auszuführen und den
Server als Proxy mit http, https oder ftp URLs im url
Parameter zu benutzen, der vom Server angefordert wird.
securityhordenoarchdcc83cac6ef087a96ff771f1f74eb486501557327c245bbe29940d2e502a0c263e0ae43137dcb0d8