Horde MIME附件文件名跨站脚本漏洞

BUGTRAQ ID: 31110 CVE(CAN) ID: CVE-2008-3823 Horde Framework是个以PHP为基础的架构，用来创建网络应用程式。 Horde的MIME库MIME/MIME/Contents.php的文件中存在跨站脚本漏洞，如果用户受骗查看了邮件消息中带有恶意文件名的MIME附件的话，就可能导致注入并执行任意脚本或HTML。 Horde 3.2.x Debian ------ Debian已经为此发布了一个安全公告（DSA-1642-1）以及相应补丁: DSA-1642-1：New horde3 packages fix cross site scripting 链接：<a href=http://www.debian.org/security/2008/dsa-1642 target=_blank>http://www.debian.org/security/2008/dsa-1642</a> 补丁下载： Source archives: <a href=http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc target=_blank>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc</a> Size/MD5 checksum: 1076 2f84d0bcc79176fd975a2e33402c1a3f <a href=http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz target=_blank>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz</a> Size/MD5 checksum: 5232958 fbc56c608ac81474b846b1b4b7bb5ee7 <a href=http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz target=_blank>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz</a> Size/MD5 checksum: 13225 c1a2fd542348e7b1110dd76b3077620b Architecture independent packages: <a href=http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb target=_blank>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb</a> Size/MD5 checksum: 5259800 6a9bee45882c4613788e7f51648ca24b 补丁安装方法： 1. 手工安装补丁包： 首先，使用下面的命令来下载补丁软件： # wget url (url是补丁下载链接地址) 然后，使用下面的命令来安装补丁： # dpkg -i file.deb (file是相应的补丁名) 2. 使用apt-get自动安装补丁包： 首先，使用下面的命令更新内部数据库： # apt-get update 然后，使用下面的命令安装更新软件包： # apt-get upgrade Horde ----- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz target=_blank>ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz</a> <a href=http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz target=_blank>http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz</a>