Falha no Horde3 permite ataque de Cross Site Scripting (XSS)

Enviado por Alexandro Silva (alexosΘalexos·org):

“Foi anunciada na lista Full-Disclosure uma falha no Horde3 que afeta as versão 3.3.8 e anteriores permitindo ataques de Cross Site Scripting (XSS).

OBS: Não é necessário estar logado para realizar este ataque. A péssima notícia é que muitos dos webmails espalhados pelo globo estão usando uma das versões vulneráveis do Horde3. ” [referência: blog.alexos.com.br]

• Publicado por Augusto Campos em 2010-09-09

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

Aline Freitas (usuário não registrado) em 9/09/2010 às 3:35 pm

O fix disso é ridículo:

--- icon_browser.php.orig 2010-09-09 18:32:57.000000000 +0000 +++ icon_browser.php 2010-09-09 18:35:36.000000000 +0000 @@ -33,7 +33,7 @@ exit(sprintf(_("Base graphics directory "%s" not found."), $dir)); }


-    if (($subdir = basename(Util::getFormData('subdir')))) {

+    if (($subdir = basename(Util::getFormData('subdir, FILTER_SANITIZE_STRING')))) {

$dir .= DIRECTORY_SEPARATOR . $subdir;

if (!is_dir($dir)) {

exit(sprintf(_("Subdirectory "%s" not found."), $dir));

Este post é antigo (2010-09-09) e foi arquivado. O envio de novos comentários a este post já expirou.

Twitter e RSS

@brlinuxblog
@augustocc
Feed RSS

O BR-Linux é hospedado no MediaTemple
Anteriores
- Histórico de artigos
BR-Linux apoia:
Licenciamento
Saiba mais sobre o BR-Linux. O conteúdo textual original desta página está disponível sob a licença GNU FDL 1.2. Veja os Termos de Uso para saber os detalhes sobre licenciamento, políticas com relação ao conteúdo enviado pelos leitores (incluindo comentários), moderação pública, privacidade e aspectos legais.

Visite sempre múltiplos sites para formar sua opinião, pois os pontos de vista e os focos de cobertura podem variar bastante. Conheça nossa lista de outros sites da comunidade!

BR-Linux.org: Linux® levado a sério desde 1996. Notícias, dicas e tutoriais em bom português sobre Linux e Código Aberto. "A página sobre software livre mais procurada no Brasil", segundo a Revista Isto É.

Expediente: Sobre o BR-Linux; Enviar notícia ou release; Contato, Termos de uso; FAQ, Newsletter, RSS; Banners e selos; Anunciar no BR-Linux

BR-Linux apóia: Efetividade, BR-Mac; sites da comunidade

Ajuda: Moderação; Flames: não responda!; Publicar seu texto; Notícias pré-2004; Tutoriais, HCL pré-2004

Linux (R) é marca registrada de Linus Torvalds. Os direitos autorais de todas as ilustrações pertencem aos respectivos autores, e elas são reproduzidas na intenção de atender ao disposto no art. 46 da Lei 9.610 - se ainda assim alguma delas infringe direito seu, entre em contato para que possamos removê-la imediatamente. O conteúdo textual original desta página está disponível sob a licença GNU FDL 1.2. Leia os Termos de Uso para saber mais detalhes - inclusive sobre a política em relação aos comentários dos leitores.

O que é Linux • Download Linux • Apostila Linux • Enviar notícia

BR-Linux.org

Falha no Horde3 permite ataque de Cross Site Scripting (XSS)

Comentários dos leitores

Twitter e RSS

Anteriores

BR-Linux apoia:

Licenciamento