S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 décembre 2006
N° CERTA-2006-AVI-519
Affaire suivie par: CERT-FR
le 01 décembre 2006

Avis du CERT-FR

Objet: Vulnérabilité de Kronolith

Gestion du document

Référence CERTA-2006-AVI-519
Titre Vulnérabilité de Kronolith
Date de la première version 01 décembre 2006
Date de la dernière version 01 décembre 2006
Source(s) Aucune
Aucune
Pièce(s) jointe(s)
Aucune
Pièce(s) jointe(s)
Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • exécution de code arbitraire à distance.

Systèmes affectés

  • Kronolith H3 versions 2.1.3 et précédentes

Résumé

Horde regroupe des des applications web développées en PHP et orientées vers le travail collaboratif. Kronolith est le nom du gestionnaire d'agenda, IMP celui du serveur IMAP/webmail. La vulnérabilité permet à l'attaquant d'exécuter un code arbitraire à distance.

Description

Une erreur de conception de Kronolith permet à un utilisateur authentifié du webmail d'exécuter un code arbitraire à distance.

L'exécution de code se fait dans le contexte du serveur web.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention de la version 2.1.4 (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 décembre 2006
    version initiale.