Vulnérabilité dans Horde Application Framework 3

Gestion du document

Référence	CERTA-2006-AVI-153
Titre	Vulnérabilité dans Horde Application Framework 3
Date de la première version	13 avril 2006
Date de la dernière version	13 avril 2006
Source(s)	Bulletins de sécurité Horde du 28 mars 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Horde Application Framework version 3.1 ;
Horde Application Framework versions 3.0.9 et antérieures.

Les versions 2.x de Horde Application Framework ne sont pas affectées.

Résumé

Une vulnérabilité dans Horde Application Framework 3 permet l'exécution de code arbitraire à distance.

Description

Horde Application Framework est un ensemble de fonctionnalités partagées par les différentes applications Horde. Les applications dépendant de Horde Application Framework sont répertoriées à l'adresse :

http://www.horde.org/projects.php

Une vulnérabilité a été découverte dans la fonctionnalité de visualisation de l'aide (help viewer). L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité Horde du 28 mars 2006 :

http://lists.horde.org/archives/announce/2006/000271.html

http://lists.horde.org/archives/announce/2006/000272.html

Bulletin de sécurité Debian 2006/dsa-1033 du 12 avril 2006 :
```
http://www.debian.org/security/2006/dsa-1033
```
Bulletin de sécurité Gentoo GLSA-200604-02 du 04 avril 2006 :
```
http://www.gentoo.org/security/en/glsa/glsa-200604-02.xml
```

Bulletin de sécurité FreeBSD du 28 mars 2006 :

http://www.vuxml.org/freebsd/pkg-horde.html

http://www.vuxml.org/freebsd/pkg-horde-php5.html

Référence CVE CAN-2006-1491 :

https://www.cve.org/CVERecord?id=CAN-2006-1491

Avis du CERT-FR

Objet: Vulnérabilité dans Horde Application Framework 3