Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket horde3
Betroffene Plattformen:
openSUSE 11.4
Eine Cross-Site-Scripting-Schwachstelle in Horde Groupware Webmail Edition
ermöglicht einem entfernten Angreifer beliebige HTML- und Script-Befehle im
Kontext des Browser zur Ausführung zu bringen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://download.opensuse.org/update/
CVE-2012-0909: Cross-site Scripting Schwachstelle in Horde Groupware Webmail
Edition
In Horde Groupware Webmail Edition vor Version 4.0.6 wird in ‘Horde_Form’
bei der Verifizierung der E-Mail-Adresse der Parameter ‘$email’ nicht
ordnungsgemäß gefiltert. Dies ermöglicht einem entfernten Angreifer
beliebige HTML- und Script-Befehle im Kontext des Browsers zur Ausführung zu
bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0321/
Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/
Schwachstelle CVE-2012-0909:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0909
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
