Gefährliche Sicherheitslücke in Horde

kroimon

Registered User
Anwendugs-Framework Horde 3.1.7 schließt gefährliche Schwachstelle

In der jüngst veröffentlichten Version 3.1.7 des Web-Entwicklungs-Frameworks Horde haben dessen Programmierer eine schwerwiegende Sicherheitslücke behoben. Laut den Release Notes ist es Angreifern bei Vorgängerversionen unter Umständen möglich, mit Hilfe manipulierter Theme-Einstellungen externe PHP-Dateien übers Netz einzubinden und so beliebigen Schadcode auf dem Webserver mit der verwundbaren Horde-Applikation auszuführen. Die Entwicklerversionen 3.2.x sollen die Schwachstelle nicht enthalten.
Anzeige

Auf der Sicherheits-Mailing-Liste Bugtraq wurde ein Advisory mit weitergehenden Details zu der Schwachstelle, einem Beispiel-Exploit sowie einem kurzen Patch veröffentlicht. Der Fehler befindet sich demnach in der E-Mail-Komponente des Frameworks, die unter anderem in Web-Administrationssoftware cPanel zum Einsatz kommt. Laut Advisory ist die Ursache der Schwachstelle eine unzureichende Filterung der POST-Variablen in der Horde-Datei horde/lib/Horde/Prefs.php.

Web-Admins, die Horde-Applikationen betreuen, sollten umgehend handeln und entweder das Server-weite Horde-Framework aktualisieren oder wenigstens den wenige Zeilen langen Patch einspielen.

Siehe dazu auch:

* Release Notes der Horde-Entwickler zur Version 3.1.7
* Horde Webmail file inclusion proof of concept & patch, Details auf Bugtraq

Quelle:Heise Newsticker



Ich denke, das betrifft alle, die Plesk auf ihrem Server benutzen, und die standardmäßig verwendete Horde-Installation nicht unzugänglich gemacht haben!
 
Wenn man fleißig seine wahnsinnig hohen Support Gebühren bezahlt hat ist SW Soft fragen das beste, ansonsten wird man wohl wieder auf das SW Soft Forum zurückgreifen müssen und sich selber helfen, wie auch meistens mit den obligatorischen Plesk Update Problemen
 
Wenn ich das richtig bei SecurityFocus gelesen habe, brauch man doch nur in der Datei horde/lib/Horde/Prefs.php von Zeile 325,12 bis 325,23 diesen Code einzufügen:

Code:
}

return (isset($this->_prefs[$pref]['v'])) ?

- ($convert ?

+ $this->_fixhole($pref,$convert ?

$this->convertFromDriver($this->_prefs[$pref]['v'], $charset) :

$this->_prefs[$pref]['v']) :

null;

}

+function _fixhole($pref,$value) {

+ $sanitize = '/^[a-z0-9._-]+$/i';

+ if (preg_match($sanitize, $value) && $pref == 'theme') {

+ return $value;

+ } elseif ($pref == 'theme') {

+ return "mozilla";

+ } else {

+ return $value;

+ }

+}

+

function __get($name)

{

return $this->getValue($name);

oder nicht?
 
Hallo!

Ich bin auch etwas verwirrt. Plesk hat wohl mal horde mitinstalliert bzw existieren bei mir Ordner namens psa-horde.

Allerdings sehe ich in der Plesk-Oberfläche nirgends Administrationsmöglichkeiten bezüglich Horde. Auch aus dem Updater ist der Horde-Eintrag verschwunden.

Welcher Ordner ist denn nun relevant? Wie wird die Domain webmail.xxx.xx mit horde verknüpft, so steht das?
Welche Ordner ist relevant? /etc/psa-horde/horde/ oder /usr/share/psa-horde ?


Gibt es aktuelle Versionen von psa-horde?
 
Last edited by a moderator:
Hallo,

für was ein Adminpanel bei Horde? Das ist absolut nicht nötig da es sich auch so leicht verwalten lässt.

Bei mir lief ein Upgrade auf die aktuelle Version von Horde problemlos!

Ich habe mir vorher ein Backup von psa-horde angelegt und dann alles bis auf das config-Verzeichnis mit der neuen Version überschrieben.

Diese ist auf horde.org erhältlich! Anschließend kann man das Ergebnis unter webmail.domain.de/test.php betrachten.

Auch ist zu beachten, dass Horde-Webmail von Plesk aus mehreren Komponenten zusammengestöpselt ist, wo alle Einstellungen im config-Verzeichnis vorgenommen werden.

Dies kann man aus der test.php heraus lesen, wo man auch andere Komponenten upgraden kann.

Daher wenn sich jemand drüber traut, dann bitte darauf achten, 1. nicht die Konfiguration zu überschreiben u. 2. das richtige Verzeichnis zum überschreiben der Webmail- od. anderen Komponenten auswählen.
 

Attachments

  • Unbenannt.JPG
    Unbenannt.JPG
    49.2 KB · Views: 153
Last edited by a moderator:
Back
Top