Säkerhetsbulletin från Debian
DSA-2853-1 horde3 -- fjärrkodskörning
- Rapporterat den:
- 2014-02-05
- Berörda paket:
- horde3
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 737149.
I Mitres CVE-förteckning: CVE-2014-1691. - Ytterligare information:
-
Pedro Ribeiro från Agile Information Security hittade en möjlig fjärrkodskörning i Horde3, ett webbapplikationsramverk. Icke rengjorda variabler skickas till PHP-funktionen unserialize(). En fjärrangripare kunde specialtillverka en av dessa variabler för att tillåta henne att ladda och exekvera kod.
För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 3.3.8+debian0-3.
I uttestningsutgåvan (Jessie) och den instabila (Sid) utgåvan distribueras Horde i paketet php-horde-util. Detta problem har rättats in version 2.3.0-1.
Vi rekommenderar att ni uppgraderar era horde3-paket.