DFN-CERT

Advisory-Archiv

2017-1334: Horde Application Framework: Mehrere Schwachstellen ermöglichen u.a. die Darstellung falscher Informationen

Historie:

Version 1 (2017-08-03 14:08)
Neues Advisory
Version 2 (2017-08-21 11:26)
Für Fedora EPEL 6 und 7 stehen neue Sicherheitsupdates für 'php-horde-nag' im Status 'testing' bereit. Mit diesen Updates wird Version 4.2.16 eingeführt, die bisherigen Updates auf Version 4.2.15 befinden sich damit im Status 'obsolete' und die entsprechenden Referenzen wurden aus dieser Meldung entfernt. Für Fedora 25 und 26 steht die neue Version ebenfalls als Update zur Verfügung, die bisherigen Updates sind davon aber unbenommen.

Betroffene Software

Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in verschiedenen Komponenten von Horde und speziell den Komponenten 'horde_form' und 'horde_url' ermöglichen einem entfernten, nicht authentisierten Angreifer die Darstellung falscher Informationen über Weiterleitungsangriffe (Open Redirect) sowie die Durchführung von Cross-Site-Scripting (XSS)-Angriffen.

Betroffen sind die Komponenten 'horde_url' vor Version 2.2.6, 'horde_imap_client' vor 2.29.14, 'horde_icalendar' vor 2.1.7, 'horde_form' vor 2.0.18, 'horde_core' vor 2.30.0, 'horde_browser' vor 2.0.14 und 'horde_activesync' vor 2.38.7 und darüber auch die Anwendungen Turba vor Version 4.2.20, Kronolith vor Version 4.2.22 und Nag vor Version 4.2.15. Für das Horde Application Framework steht Version 5.2.16 als Sicherheitsupdate bereit. Der Quellcode der aktuellen Versionen wird vom Hersteller bereits zur Verfügung gestellt.

Für Fedora 25 und 26 sowie Fedora EPEL 6 und 7 stehen die auf die neuesten Versionen aktualisierte Pakete 'php-horde-horde', 'php-horde-Horde-Core', 'php-horde-Horde-Form', 'php-horde-Horde-Url', 'php-horde-kronolith', 'php-horde-nag' und 'php-horde-turba' im Status 'testing' bereit.

Schwachstellen:

PHP-HORDE-HORDE-5-2-16-A

Schwachstelle in Horde ermöglicht Darstellung falscher Informationen

PHP-HORDE-HORDE-FORM-2-0-18-A

Schwachstelle in Horde ermöglicht Cross-Site-Scripting-Angriff

PHP-HORDE-HORDE-URL-2-2-6-A

Schwachstelle in Horde ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.