Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Horde Application Framework

Betroffene Plattformen:

Red Hat Fedora 21
Red Hat Fedora 22
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Durch mehrere Schwachstellen in Horde ist es einem entfernten, nicht
authentifizierten Angreifer möglich, einen Cross-Site-Scripting-Angriff
durchzuführen oder Sicherheitsvorkehrungen zu umgehen.

Für Fedora 21, 22, EPEL 6 und EPEL 7 werden Sicherheitsupdates im Status
‘testing’ bereitgestellt.

Patch:

Fedora Security Update FEDORA-2015-11261

https://admin.fedoraproject.org/updates/FEDORA-2015-11261/php-horde-Horde-Auth-2.1.10-1.fc22,php-horde-Horde-Core-2.20.6-1.fc22,php-horde-Horde-Icalendar-2.1.1-1.fc22,php-horde-Horde-Form-2.0.10-1.fc22

Patch:

Fedora Security Update FEDORA-2015-11287

https://admin.fedoraproject.org/updates/FEDORA-2015-11287/php-horde-Horde-Auth-2.1.10-1.fc21,php-horde-Horde-Core-2.20.6-1.fc21,php-horde-Horde-Icalendar-2.1.1-1.fc21,php-horde-Horde-Form-2.0.10-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-7025

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7025/php-horde-Horde-Auth-2.1.10-1.el7,php-horde-Horde-Core-2.20.6-1.el7,php-horde-Horde-Icalendar-2.1.1-1.el7,php-horde-Horde-Form-2.0.10-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2015-7090

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7090/php-horde-Horde-Auth-2.1.10-1.el6,php-horde-Horde-Core-2.20.6-1.el6,php-horde-Horde-Icalendar-2.1.1-1.el6,php-horde-Horde-Form-2.0.10-1.el6

Horde-2.20.6-Core1: Schwachstelle in Horde Core ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Horde Core basiert auf der Möglichkeit, sich mit einem
leeren Passwort anzumelden. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu
umgehen.

Horde-2.1.10-Auth1: Schwachstelle in Horde Auth ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Horde Auth basiert auf der Möglichkeit, sich mit einem
leeren Passwort am LDAP-Server anzumelden. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen.

Horde-2.0.10-Form1: Schwachstelle in Horde Form ermöglicht
Cross-Site-Scripting-Angriff

Eine nicht näher spezifizierte Schwachstelle wurde im “form renderer”
gefunden. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Cross-Site-Scripting-Angriff
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1034/

Fedora Security Update FEDORA-2015-11261:
https://admin.fedoraproject.org/updates/FEDORA-2015-11261/php-horde-Horde-Auth-2.1.10-1.fc22,php-horde-Horde-Core-2.20.6-1.fc22,php-horde-Horde-Icalendar-2.1.1-1.fc22,php-horde-Horde-Form-2.0.10-1.fc22

Fedora Security Update FEDORA-2015-11287:
https://admin.fedoraproject.org/updates/FEDORA-2015-11287/php-horde-Horde-Auth-2.1.10-1.fc21,php-horde-Horde-Core-2.20.6-1.fc21,php-horde-Horde-Icalendar-2.1.1-1.fc21,php-horde-Horde-Form-2.0.10-1.fc21

Fedora Security Update FEDORA-EPEL-2015-7025:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7025/php-horde-Horde-Auth-2.1.10-1.el7,php-horde-Horde-Core-2.20.6-1.el7,php-horde-Horde-Icalendar-2.1.1-1.el7,php-horde-Horde-Form-2.0.10-1.el7

Fedora Security Update FEDORA-EPEL-2015-7090:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-7090/php-horde-Horde-Auth-2.1.10-1.el6,php-horde-Horde-Core-2.20.6-1.el6,php-horde-Horde-Icalendar-2.1.1-1.el6,php-horde-Horde-Form-2.0.10-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.