Hacker haben in das Groupware-Framework eine Backdoor-Anwendung eingeschleust.
Hacker haben in das Groupware-Framework eine Backdoor-Anwendung eingeschleust. (Bild: Horde-Projekt)

Sicherheitslücke Groupware Horde enthält Backdoor

Nach einem Einbruch auf die FTP-Server des Horde-Projekts weisen dessen Entwickler darauf hin, dass drei ihrer PHP-basierten Produkte mit einem Backdoor-Programm infiziert wurden. Dadurch lassen sich Anwendungen aus der Ferne angreifen.

Anzeige

Angreifer haben sich Zugriff auf die FTP-Server des Horde-Projekts verschafft und in drei Anwendungen eine Backdoor-Anwendung eingeschleust. Über die Sicherheitslücke lässt sich PHP-Code aus der Ferne in den Horde-Anwendungen ausführen. Der Angreifer muss sich dafür nicht authentifizieren. Exploits sind bereits veröffentlicht worden.

Anwender, die das Framework Horde 3.3.12 zwischen dem 17. November 2011 und dem 7. Februar 2012 heruntergeladen und installiert haben, sollten schnellstmöglich eine aktualisierte Version von den inzwischen reparierten Servern herunterladen. Auch die Groupware in Version 1.2.10 ist betroffen, sofern sie zwischen dem 9. November 2011 und dem 7. Februar 2012 heruntergeladen wurde. Auch die Webmail-Edition mit der gleichen Versionsnummer, die zwischen dem 2. November 2011 und dem 7. Februar 2012 heruntergeladen wurde, ist betroffen.

Weitere Versionen der Groupware seien nicht betroffen, betont der Horde-Entwickler Jan Schneider, das aktuelle Horde 4 sei sicher. Das Horde-Team werde einen umfassenden Sicherheitscheck starten, damit die Software auch in Zukunft sicher sei.

Horde ist ein PHP-basiertes Framework, das verschiedene Groupware-Komponenten bereitstellt. Die Groupware-Variante besteht aus einer Sammlung von Anwendungen, die auf das Framework zugreifen, wie etwa der Taskmanager Nag oder die Kalenderanwendung Kronolith. Die Webmail-Edition enthält den Client IMP (Internet Messaging Program) sowie das Filterprogramm Ingo. Die aktuelle Version 4 ist seit Mitte 2011 erhältlich. Horde steht unter der LGPL.


evilchen 15. Feb 2012

@Golem, keine Hintergründe zu der Backdoor?

Kommentieren



Anzeige

  1. Softwareentwickler für mobile und Web-Applikationen (m/w)
    g/d/p Marktanalysen GmbH, Hamburg
  2. Projektmitarbeiter / -manager (m/w) mit Schwerpunkt IT-Sicherheit
    PSI AG, Aschaffenburg
  3. Oracle Datenbank & Infrastruktur Consultant (m/w)
    über 3C - Career Consulting Company GmbH, München, Freiburg, Stuttgart oder Düsseldorf
  4. Senior Business Analyst - Simulation & Systems Engineering, IT Services (m/w)
    Bombardier Transportation, Berlin

 

Detailsuche


Folgen Sie uns
       


  1. Streaming-Dienst

    Netflix-App für Amazons Fire TV ist da

  2. Pilot tot

    Spaceship Two stürzt in der Mojave-Wüste ab

  3. Bewegungsprofile

    Dobrindt wegen "Verkehrs-Vorratsdatenspeicherung" kritisiert

  4. Anonymisierung

    Facebook ist im Tor-Netzwerk erreichbar

  5. Spielekonsole

    Neuer 20-nm-Chip für sparsamere Xbox One ist fertig

  6. Günther Oettinger

    EU-Digitalkommissar will Urheberrechtssteuer für alle

  7. Ruhemodus

    Noch ein Bug in Firmware 2.0 der Playstation 4

  8. VDSL2-Nachfolgestandard

    Telekom-Konkurrenten starten G.fast-Praxistest

  9. Ego-Shooter

    Bethesda hat Prey 2 eingestellt

  10. Keine Bußgelder

    Sicherheitslücken bleiben ohne Strafen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Moore's Law: Totgesagte schrumpfen länger
Moore's Law
Totgesagte schrumpfen länger

OS X Yosemite im Test: Continuity macht den Mac zum iPhone-Helfer
OS X Yosemite im Test
Continuity macht den Mac zum iPhone-Helfer
  1. OS X 10.10 Yosemite ist da
  2. Betriebssystem Apple bringt dritte öffentliche Beta von OS X 10.10
  3. Apple OS X Yosemite - die zweite öffentliche Beta ist da

Samsung Galaxy Note 4 im Test: Ausdauerndes Riesen-Smartphone mit Top-Hardware
Samsung Galaxy Note 4 im Test
Ausdauerndes Riesen-Smartphone mit Top-Hardware
  1. Galaxy Note 4 4,5 Millionen verkaufte Geräte in einem Monat
  2. Samsung Galaxy Note 4 wird teurer und kommt früher
  3. Gapgate Spalt im Samsung Galaxy Note 4 ist gewollt

    •  / 
    Zum Artikel