Heute wurden im Horde Application Framwork des Horde Projekts eine schwerwiegende Sicherheitslücke geschlossen. Der Download des Frameworks bzw. des Patches kann von einem der zahlreichen Spiegel (Mirrors) erfolgen. Vom Update betroffen sind die Applikationen Horde, Horde Groupware und Horde Groupware Webmail Edition.
Lt. Versionskontrolle war es möglich PHP-Dateien über das Web aufgrund manipulierter Theme-Einstellungen einzuschleußen und somit beliebigen Schadcode auf dem Webserver auszuführen. Die Schwachstelle befand sich in der E-Mail-Komponente des Frameworks, die aufgrund unzureichender Filterung von POST-Variablen in der Datei “horde/lib/Horde/Prefs.php” hervorgerufen wurde. Da es sich bei Horde um ein Framework handelt, kommt dieses auch in anderen Anwendungen zum Einsatz, die somit ebenfalls gepatcht werden müssen.
Eine Aktualisierung wird dringend empfohlen, zumindest sollte aber der Patch eingespielt werden, der u.a. von ftp://ftp.horde.org/pub/horde/patches/patch-horde-3.1.6-3.1.7.gz geladen werden kann. Die Entwicklerversionen 3.2.x sollen die Schwachstelle nicht enthalten.
Verwandte Beiträge
- Horde 3.1.6, Turba H3 (2.1.6), Kronolith H3 (2.1.7), Nag H3 (2.1.4), Mnemo H3 (2.1.2), Horde Groupware 1.0.3, Horde Groupware Webmail Edition 1.0.4
- Softwareaktualisierung für alle Programme unter Mac OS X
- iPhone 1.1.4 Aktivierung, Jailbreak und Unlock
- phpMyAdmin 2.11.5
- Horde: Mit IMP Anhänge größer 1 MB versenden
Recent Comments