Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Horde Application Framework version 3.1 ;
- Horde Application Framework versions 3.0.9 et antérieures.
Les versions 2.x de Horde Application Framework ne sont pas affectées.
Résumé
Une vulnérabilité dans Horde Application Framework 3 permet l'exécution de code arbitraire à distance.
Description
Horde Application Framework est un ensemble de fonctionnalités partagées par les différentes applications Horde. Les applications dépendant de Horde Application Framework sont répertoriées à l'adresse :
http://www.horde.org/projects.php
Une vulnérabilité a été découverte dans la fonctionnalité de visualisation de l'aide (help viewer). L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Horde du 28 mars 2006 http://lists.horde.org/archives/announce/2006/000272.html
- Bulletin de sécurité Debian 2006/dsa-1033 du 12 avril 2006 : http://www.debian.org/security/2006/dsa-1033
- Bulletin de sécurité FreeBSD du 28 mars 2006 : http://www.vuxml.org/freebsd/pkg-horde-php5.html
- Bulletin de sécurité FreeBSD du 28 mars 2006 : http://www.vuxml.org/freebsd/pkg-horde.html
- Bulletin de sécurité Gentoo GLSA-200604-02 du 04 avril 2006 : http://www.gentoo.org/security/en/glsa/glsa-200604-02.xml