BUGTRAQ ID: 31110
CVE(CAN) ID: CVE-2008-3823

Horde Framework是个以PHP为基础的架构，用来创建网络应用程式。

Horde的MIME库MIME/MIME/Contents.php的文件中存在跨站脚本漏洞，如果用户受骗查看了邮件消息中带有恶意文件名的MIME附件的话，就可能导致注入并执行任意脚本或HTML。

Horde 3.2.x
Debian

Debian已经为此发布了一个安全公告（DSA-1642-1）以及相应补丁:
DSA-1642-1：New horde3 packages fix cross site scripting
链接：<a href=“http://www.debian.org/security/2008/dsa-1642” target=“_blank”>http://www.debian.org/security/2008/dsa-1642</a>

补丁下载：

Source archives:

<a href=“http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc” target=“_blank”>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.dsc</a>
Size/MD5 checksum: 1076 2f84d0bcc79176fd975a2e33402c1a3f
<a href=“http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz” target=“_blank”>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3.orig.tar.gz</a>
Size/MD5 checksum: 5232958 fbc56c608ac81474b846b1b4b7bb5ee7
<a href=“http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz” target=“_blank”>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4.diff.gz</a>
Size/MD5 checksum: 13225 c1a2fd542348e7b1110dd76b3077620b

Architecture independent packages:

<a href=“http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb” target=“_blank”>http://security.debian.org/pool/updates/main/h/horde3/horde3_3.1.3-4etch4_all.deb</a>
Size/MD5 checksum: 5259800 6a9bee45882c4613788e7f51648ca24b

补丁安装方法：

1. 手工安装补丁包：

首先，使用下面的命令来下载补丁软件：

wget url (url是补丁下载链接地址)

然后，使用下面的命令来安装补丁：

dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：

   apt-get update

   然后，使用下面的命令安装更新软件包：

   apt-get upgrade

Horde

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz” target=“_blank”>ftp://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz</a>
<a href=“http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz” target=“_blank”>http://ftp.horde.org/pub/horde/horde-3.2.2.tar.gz</a>