Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2853-1 horde3

Bulletin d'alerte Debian

DSA-2853-1 horde3 -- Exécution de code à distance

Date du rapport :

5 février 2014

Paquets concernés :

horde3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 737149.
Dans le dictionnaire CVE du Mitre : CVE-2014-1691.

Plus de précisions :

Pedro Ribeiro d'Agile Information Security a découvert une potentielle exécution de code à distance dans Horde3, un environnement d'application web. Des variables non vérifiées sont passées à la fonction PHP unserialize(). Un attaquant distant pourrait contrefaire pour l'occasion une de ces variables, pour lui permettre de charger et d'exécuter du code.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 3.3.8+debian0-3.

Dans les distributions testing (Jessie) et unstable (Sid), Horde est distribué dans le paquet php-horde-util. Ce problème a été corrigé dans la version 2.3.0-1.

Nous vous recommandons de mettre à jour vos paquets horde3.