Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Horde Application Framework

Betroffene Plattformen:

Debian Linux 8.2 Jessie
Debian Linux 9.0 Stretch

Mehrere Cross-Site-Request-Forgery (CSRF)-Schwachstellen ermöglichen einem
entfernten, nicht authentisierten Angreifer beliebige(n) Befehle und
Programmcode mit Administratorrechten zur Ausführung zu bringen.

Debian stellt für die stabile Distribution Jessie (8.2) und die ‘testing’
Distribution Stretch (9.0) verschiedene Sicherheitsupdates zur Verfügung.

Patch:

Debian Security Advisory DSA-3391-1

https://www.debian.org/security/2015/dsa-3391

CVE-2015-7984: Schwachstellen in Horde Application Framework erlauben
Cross-Site-Request-Forgery

In Horde bevor 5.2.8, Horde Groupware bevor 5.2.11 und Horde Groupware
Webmail Edition bevor 5.2.11 existieren mehrere Cross-Site-Request-Forgery
(CSRF)-Schwachstellen. Diese ermöglichen die Authentisierung eines
Administrators für verschiedene Anfragen zu übernehmen, welche (1) über den
CMD-Parameter zu admin/cmdshell.php beliebige Kommandos, (2) über den
SQL-Parameter zu admin/sqlshell.php beliebige SQL-Abfragen, oder (3) über
den PHP-Parameter zu admin/phpshell.php beliebigen PHP-Code ausführen
lassen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1801/

Debian Security Advisory DSA-3391-1:
https://www.debian.org/security/2015/dsa-3391

Schwachstelle CVE-2015-7984 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7984

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.