Vulnerability-Lookup

CERTA-2011-AVI-338

Vulnerability from certfr_avis - Published: 2011-06-10 - Updated: 2011-06-10

Une vulnérabilité dans Horde_Auth Framework est exploitable par un utilisateur malveillant pour contourner l'authentification.

Description

Une vulnérabilité est présente dans Horde_Auth Framework. Dans certaines configurations, elle permet à un utilisateur malveillant de ce connecter à Horde sans utiliser le mot de passe correct.

Des applications Horde qui n'utilisent pas le même procédé de connexion, comme IMP, ne sont pas concernées par cette vulnérabilité

Solution

La version 1.0.4 de Horde_Auth Framework corrige le problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Horde_Auth Framework 1.0.3 et antérieurs.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité Horde du 08 juin 2011

None

vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eHorde_Auth Framework 1.0.3 et  ant\u00e9rieurs.\u003c/p\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans Horde_Auth Framework. Dans certaines\nconfigurations, elle permet \u00e0 un utilisateur malveillant de ce connecter\n\u00e0 Horde sans utiliser le mot de passe correct.\n\nDes applications Horde qui n\u0027utilisent pas le m\u00eame proc\u00e9d\u00e9 de connexion,\ncomme IMP, ne sont pas concern\u00e9es par cette vuln\u00e9rabilit\u00e9\n\n## Solution\n\nLa version 1.0.4 de Horde_Auth Framework corrige le probl\u00e8me.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2011-06-10T00:00:00",
  "last_revision_date": "2011-06-10T00:00:00",
  "links": [],
  "reference": "CERTA-2011-AVI-338",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2011-06-10T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans Horde_Auth Framework est exploitable par un\nutilisateur malveillant pour contourner l\u0027authentification.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Horde",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Horde du 08 juin 2011",
      "url": "http://lists.horde.org/archives/announce/2011/000638.html"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted