Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2853-1 horde3

Debians sikkerhedsbulletin

DSA-2853-1 horde3 -- fjernudførelse af kode

Rapporteret den:

5. feb 2014

Berørte pakker:

horde3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 737149.
I Mitres CVE-ordbog: CVE-2014-1691.

Yderligere oplysninger:

Pedro Ribeiro fra Agile Information Security fandt en mulig fjernudførelse af kode-fejl i Horde3, et webapplikationsframework. Variabler, der ikke var fornuftighedskontrolleret, blev overført til PHP-funktionen unserialize(). En fjernangriber kunne fremstille en særlig sådan varibal, som gjordet det muligt for vedkommende at indlæse og udføre kode.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 3.3.8+debian0-3.

I distributionen testing (jessie) og i den ustabile distribution (sid), distribueres Horde i pakken php-horde-util. Dette problem er rettet i version 2.3.0-1.

Vi anbefaler at du opgraderer dine horde3-pakker.