S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 février 2012
N^o CERTA-2012-AVI-072

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilités dans des produits Horde

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-072

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2012-AVI-072
Titre	Vulnérabilités dans des produits Horde
Date de la première version	13 février 2012
Date de la dernière version	-
Source	Annonces du projet Horde du 07 février 2012
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Injection de code indirecte à distance.

2 Systèmes affectés

Produits du projet Horde :

IMP H4, version 5.0.17 et versions antérieures ;
DIMP H3, version 1.1.7 et versions antérieures ;
Groupware Webmail Edition, version 4.0.5 et versions antérieures.

3 Résumé

Plusieurs vulnérabilités dans des produits Horde permettent à un attaquant d'injecter indirectement du code à distance (XSS).

4 Description

Des produits du projet Horde présentent des défauts de vérification des données en entrée. Ces défauts sont exploitables par un attaquant pour réaliser de l'injection de code indirecte à distance (XSS).

5 Solution

Les versions 5.0.18 d'IMP, 1.1.8 de DIMP et 4.0.6 de Groupware Webmail Edition corrigent ces vulnérabilités.

Se référer aux bulletins de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Annonces du projet Horde du 07 février 2012 :

http://www.horde.org/apps/imp/docs/RELEASE_NOTES

http://www.horde.org/apps/webmail/docs/RELEASE_NOTES

http://lists.horde.org/archives/announce/2012/000746.html

Référence CVE CVE-2012-0791 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0791

Gestion détaillée du document

13 février 2012: version initiale.

CERTA
2012-02-13