Sicherheits-Updates fĂĽr Framework Horde
Das Webanwendungs-Framework Horde und darauf beruhende Produkte enthalten Schwachstellen, mit der ein Angreifer eigenen HTML-Code und JavaScript im Browser eines Opfers ausfĂĽhren kann.
- Daniel Bachfeld
Einem Fehlerbericht des Open Source CERT (oCERT) zufolge enthalten mehrere auf dem Webanwendungs-Framework Horde beruhende Produkte Schwachstellen, mit der ein Angreifer eigenen HTML-Code und JavaScript im Browser eines Opfers ausführen kann. Dazu muss das Opfer allerdings eine präparierte Mail öffnen.
Ursache der Schwachstellen sind die fehlerhafte Verarbeitung von E-Mail-Anhängen, von der Horde Groupware Webmail Edition vor 1.1.3, Horde Groupware vor 1.1.3 und Horde Application Framework vor 3.2.2 betroffen sind sowie die fehlerhafte Verarbeitung präparierter HTML-Mails, von der Horde Groupware Webmail Edition vor 1.0.8 und 1.1.3, Horde Groupware vor 1.0.7 und 1.1.3 sowie Horde Application Framework vor 3.1.9 und 3.2.2 betroffen sind.
DarĂĽber hinaus listet das oCERT noch die Anwendungen als verwundbar auf:
- Cake-PHP <= 1.2.0.7296 RC2
- phpMyFAQ <= 2.5.0-dev (2008-08-18)
- deluxeBB <= 1.2
- emucms <= 0.3
- SimpleSite <= 1.6.4
- RevokeBB <= 1.0RC11_normal
- TPLN <= 2.9
- Logicoder <= r27
- phour <= r106
- MDPro <= 1.0821
- noserub <= r784/0.6
Neben den Updates fĂĽr Horde, Horde Groupware und Webmail stehen auch Patches zum Download bereit.
Siehe dazu auch:
- Horde, Popoon frameworks common input sanitization errors (XSS), Fehlerbericht des oCERT
(dab)
