Hacker haben in das Groupware-Framework eine Backdoor-Anwendung eingeschleust.
Hacker haben in das Groupware-Framework eine Backdoor-Anwendung eingeschleust. (Bild: Horde-Projekt)

Sicherheitslücke Groupware Horde enthält Backdoor

Nach einem Einbruch auf die FTP-Server des Horde-Projekts weisen dessen Entwickler darauf hin, dass drei ihrer PHP-basierten Produkte mit einem Backdoor-Programm infiziert wurden. Dadurch lassen sich Anwendungen aus der Ferne angreifen.

Anzeige

Angreifer haben sich Zugriff auf die FTP-Server des Horde-Projekts verschafft und in drei Anwendungen eine Backdoor-Anwendung eingeschleust. Über die Sicherheitslücke lässt sich PHP-Code aus der Ferne in den Horde-Anwendungen ausführen. Der Angreifer muss sich dafür nicht authentifizieren. Exploits sind bereits veröffentlicht worden.

Anwender, die das Framework Horde 3.3.12 zwischen dem 17. November 2011 und dem 7. Februar 2012 heruntergeladen und installiert haben, sollten schnellstmöglich eine aktualisierte Version von den inzwischen reparierten Servern herunterladen. Auch die Groupware in Version 1.2.10 ist betroffen, sofern sie zwischen dem 9. November 2011 und dem 7. Februar 2012 heruntergeladen wurde. Auch die Webmail-Edition mit der gleichen Versionsnummer, die zwischen dem 2. November 2011 und dem 7. Februar 2012 heruntergeladen wurde, ist betroffen.

Weitere Versionen der Groupware seien nicht betroffen, betont der Horde-Entwickler Jan Schneider, das aktuelle Horde 4 sei sicher. Das Horde-Team werde einen umfassenden Sicherheitscheck starten, damit die Software auch in Zukunft sicher sei.

Horde ist ein PHP-basiertes Framework, das verschiedene Groupware-Komponenten bereitstellt. Die Groupware-Variante besteht aus einer Sammlung von Anwendungen, die auf das Framework zugreifen, wie etwa der Taskmanager Nag oder die Kalenderanwendung Kronolith. Die Webmail-Edition enthält den Client IMP (Internet Messaging Program) sowie das Filterprogramm Ingo. Die aktuelle Version 4 ist seit Mitte 2011 erhältlich. Horde steht unter der LGPL.


evilchen 15. Feb 2012

@Golem, keine Hintergründe zu der Backdoor?

Kommentieren



Anzeige

  1. Leiter (m/w) Elektronik- / Embedded Software-Entwicklung
    invenio GmbH Engineering Services, Rüsselsheim, Mannheim, Karlsruhe oder Stuttgart
  2. Informatikerin / Informatiker im Verwaltungsbereich
    Universität Passau, Passau
  3. Linux Systemadministrator DevOps Engineer (m/w)
    Continum AG, Freiburg
  4. Software-Entwickler .NET (m/w)
    SYSTECS Informationssysteme GmbH, Leinfelden-Echterdingen

 

Detailsuche


Blu-ray-Angebote
  1. 300: Rise of an Empire Ultimate Collectors Edition [3D Blu-ray] [Limited Edition]
    69,99€ statt 129,00€
  2. Game of Thrones - Staffel 4 (Digipack + Bonusdisc) (exkl. bei Amazon.de) [Blu-ray] [Limited Edition]
    44,99€ - Release 26.03.
  3. 3D-Blu-rays reduziert
    (u. a. Jurassic Park 12,97€, Ich einfach unverbesserlich 1&2 für 19,97€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Zweites Hearthstone-Adventure

    Der Preis ist heiß - nicht!

  2. Freifunker

    "WLAN-Gesetzentwurf bewirkt Gegenteil von öffentlichem WLAN"

  3. Wiko

    Neue LTE-Smartphones sollen um die 300 Euro kosten

  4. Near Field Magnetic Induction Hands on

    Drahtlos-Ohrhörer noch drahtloser

  5. LG

    Neue Android-Smartphones kosten ab 100 Euro

  6. Browserhersteller

    Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

  7. Powerspy

    Stalking über den Akkuverbrauch

  8. LTE + Super Vectoring

    Hybridrouter der Telekom soll künftig 550 MBit/s bringen

  9. Huawei Mediapad T1 7.0

    7-Zoll-Tablet mit UMTS-Modem kostet 130 Euro

  10. Steam Machines

    Von A wie Alienware bis Z wie Zotac



Haben wir etwas übersehen?

E-Mail an news@golem.de



OxygenOS von Oneplus: "Wir wollen keine Funktionen entwickeln, die nerven"
OxygenOS von Oneplus
"Wir wollen keine Funktionen entwickeln, die nerven"
  1. Oneplus One-Smartphone bekommt Lollipop erst im März
  2. Alternatives ROM Paranoid Android schließt sich Oneplus an
  3. OxygenOS Oneplus greift auf Paranoid-Android-Entwickler zurück

MIPS Creator CI20 angetestet: Die Platine zum Pausemachen
MIPS Creator CI20 angetestet
Die Platine zum Pausemachen
  1. Raspberry Pi 2 Fotografieren nur ohne Blitz
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

  1. Re: typo

    tk (Golem.de) | 18:33

  2. Re: Microsoft sollte lieber auf die Kunden...

    exxo | 18:33

  3. Re: wiko rockt

    Rodrigogonzales | 18:30

  4. Re: Das ist so gewollt

    GodsBoss | 18:29

  5. Opera 12 nicht verwundbar?

    nudel | 18:27


  1. 18:34

  2. 17:16

  3. 16:45

  4. 16:19

  5. 15:11

  6. 15:09

  7. 15:00

  8. 14:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel