• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2853-1 horde3 -- удалённое выполнение кода

Главная Специалистам База уязвимостей DSA-2853-1 horde3 -- удалённое выполнение кода

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
horde3 (any)
Описание
Педро Рибейро из Agile Information Security обнаружил возможность удалённого
выполнения кода в Horde3, инфраструктуре для веб-приложений. Неочищенные
переменные передаются функции PHP unserialize(). Удалённый атакующий
может специально сформировать одну из таких переменных, что позволит ему загрузить и
выполнить код.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в
версии 3.3.8+debian0-3.
В тестируемом (jessie) и нестабильном (sid) выпусках Horde поставляется
в составе пакета php-horde-util. Эта проблема была исправлена в
версии 2.3.0-1.
Рекомендуется обновить пакеты horde3.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
horde3 - 3.3.8+debian0-3
Ссылки
http://www.debian.org/security/dsa-2853/

Источник: CVE
Наименование: CVE-2014-1691
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1691