Avis du CERT-FR

Objet: Vulnérabilité dans le webmail de Kerio MailServer

Gestion du document

Référence	CERTA-2009-AVI-227
Titre	Vulnérabilité dans le webmail de Kerio MailServer
Date de la première version	10 juin 2009
Date de la dernière version	10 juin 2009
Source(s)	Bulletin de sécurité Kerio KSEC-2009-06-08-01 du 08 juin 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte.

Systèmes affectés

Kerio MailServer 6.6.2 et versions antérieures ;
Kerio MailServer 6.7.0.

Résumé

Une vulnérabilité de type injection de code indirecte (cross-site scripting) a été identifiée dans Kerio MailServer.

Description

Une vulnérabilité de type injection de code indirecte a été identifiée dans le webmail de Kerio MailServer. Elle peut être exploitée par une personne malintentionnée pour accéder aux données personnelles d'une victime en l'incitant à cliquer sur un lien spécialement conçu.

Solution

Le patch 3 de la version 6.6.2 et le patch 1 de la version 6.7.0 corrigent le problème.

Documentation

Bulletin de sécurité KSEC-2009-06-08-01 du 08 juin 2009 :
```
http://www.kerio.com/support/security-advisories#0906
```
Page de téléchargement de Kerio MailServer :
```
http://www.kerio.com/mailserver/download
```

Gestion détaillée du document

le 10 juin 2009: version initiale.