S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 juin 2011
N° CERTA-2011-AVI-338
Affaire suivie par: CERT-FR
le 10 juin 2011

Avis du CERT-FR

Objet: Vulnérabilité dans Horde

Gestion du document

Référence CERTA-2011-AVI-338
Titre Vulnérabilité dans Horde
Date de la première version 10 juin 2011
Date de la dernière version 10 juin 2011
Source(s) Bulletin de sécurité Horde du 08 juin 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Horde_Auth Framework 1.0.3 et antérieurs.

Résumé

Une vulnérabilité dans Horde_Auth Framework est exploitable par un utilisateur malveillant pour contourner l'authentification.

Description

Une vulnérabilité est présente dans Horde_Auth Framework. Dans certaines configurations, elle permet à un utilisateur malveillant de ce connecter à Horde sans utiliser le mot de passe correct.

Des applications Horde qui n'utilisent pas le même procédé de connexion, comme IMP, ne sont pas concernées par cette vulnérabilité

Solution

La version 1.0.4 de Horde_Auth Framework corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 juin 2011
    version initiale.