Sicherheits-Updates für Framework Horde

Einem Fehlerbericht des Open Source CERT (oCERT) zufolge enthalten mehrere auf dem Webanwendungs-Framework Horde beruhende Produkte Schwachstellen, mit der ein Angreifer eigenen HTML-Code und JavaScript im Browser eines Opfers ausführen kann. Dazu muss das Opfer allerdings eine präparierte Mail öffnen.

Ursache der Schwachstellen sind die fehlerhafte Verarbeitung von E-Mail-Anhängen, von der Horde Groupware Webmail Edition vor 1.1.3, Horde Groupware vor 1.1.3 und Horde Application Framework vor 3.2.2 betroffen sind sowie die fehlerhafte Verarbeitung präparierter HTML-Mails, von der Horde Groupware Webmail Edition vor 1.0.8 und 1.1.3, Horde Groupware vor 1.0.7 und 1.1.3 sowie Horde Application Framework vor 3.1.9 und 3.2.2 betroffen sind.

Darüber hinaus listet das oCERT noch die Anwendungen als verwundbar auf:

• Cake-PHP <= 1.2.0.7296 RC2
• phpMyFAQ <= 2.5.0-dev (2008-08-18)
• deluxeBB <= 1.2
• emucms <= 0.3
• SimpleSite <= 1.6.4
• RevokeBB <= 1.0RC11_normal
• TPLN <= 2.9
• Logicoder <= r27
• phour <= r106
• MDPro <= 1.0821
• noserub <= r784/0.6

Neben den Updates für Horde, Horde Groupware und Webmail stehen auch Patches zum Download bereit.

Siehe dazu auch:

• Horde, Popoon frameworks common input sanitization errors (XSS), Fehlerbericht des oCERT

(dab)