DFN-CERT-2017-0763 Horde Groupware, Ingo: Eine Schwachstelle ermöglicht die Durchführung eines Cross-Site-Scripting-Angriffs [Linux][Fedora]

DFN-CERT-2017-0763 Horde Groupware, Ingo: Eine Schwachstelle ermöglicht die Durchführung eines Cross-Site-Scripting-Angriffs [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Horde Groupware < 5.2.20 Ingo < 3.2.15 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in der Regelsuchfunktion in der Horde-Anwendung Ingo ermöglicht es einem entfernten, möglicherweise nicht authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Der Hersteller stellt die Horde Groupware Webmail Edition in Version 5.2.20 als Sicherheitsupdate zur Behebung der Schwachstelle bereit. Für Fedora 24, 25 und 26 sowie für Fedora EPEL 7 steht der Ingo Email Filter Rules Manager für Horde in der Version 3.2.15 als Sicherheitsupdate im Status 'testing' bereit. Das entsprechende Sicherheitsupdate für Fedora EPEL 6 befindet sich derzeit noch im Status 'pending'. Patch: Fedora Security Update FEDORA-2017-9264ed563d (Fedora 24, php-horde-ingo-3.2.15-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-9264ed563d

Patch:

Fedora Security Update FEDORA-2017-9a42f1cab3 (Fedora 25,
php-horde-ingo-3.2.15-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9a42f1cab3

Patch:

Fedora Security Update FEDORA-2017-ba8c760e67 (Fedora 26,
php-horde-ingo-3.2.15-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ba8c760e67

Patch:

Fedora Security Update FEDORA-EPEL-2017-59f87a9740 (Fedora EPEL 6,
php-horde-ingo-3.2.15-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-59f87a9740

Patch:

Fedora Security Update FEDORA-EPEL-2017-9250b82d1c (Fedora EPEL 7,
php-horde-ingo-3.2.15-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9250b82d1c

Patch:

Horde Groupware Webmail Edition 5.2.20 Release Notes

https://lists.horde.org/archives/announce/2017/001233.html

HORDE-INGO-3-2-15-A: Schwachstelle in Horde Ingo ermöglicht
Cross-Site-Scripting-Angriff

Eine nicht näher beschriebene Schwachstelle in ‘ingo/lib/Basic/Filters.php’
und ‘ingo/templates/basic/filters/filters.html.php’ von Horde Ingo vor
Version 3.2.15 betrifft die Regelsuchfunktion und ermöglicht es, einen
Cross-Site-Scripting-Angriff gegen einen Benutzer des Systems durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0763/

Fedora Security Update FEDORA-2017-9264ed563d (Fedora 24,
php-horde-ingo-3.2.15-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9264ed563d

Fedora Security Update FEDORA-2017-9a42f1cab3 (Fedora 25,
php-horde-ingo-3.2.15-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9a42f1cab3

Fedora Security Update FEDORA-2017-ba8c760e67 (Fedora 26,
php-horde-ingo-3.2.15-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ba8c760e67

Fedora Security Update FEDORA-EPEL-2017-59f87a9740 (Fedora EPEL 6,
php-horde-ingo-3.2.15-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-59f87a9740

Fedora Security Update FEDORA-EPEL-2017-9250b82d1c (Fedora EPEL 7,
php-horde-ingo-3.2.15-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-9250b82d1c

Horde Groupware Webmail Edition 5.2.20 Release Notes:
https://lists.horde.org/archives/announce/2017/001233.html

Github Horde: SECURITY: Fix XSS vulnerability in rule search:
https://github.com/horde/horde/commit/6854284a647f360f358b4739e4df65a9cd814664

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben