Рекомендация Debian по безопасности

DSA-2787-1 roundcube -- ошибка разработки

Дата сообщения:
27.10.2013
Затронутые пакеты:
roundcube
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 727668.
В каталоге Mitre CVE: CVE-2013-6172.
Более подробная информация:

Было обнаружено, что roundcube, решение для IMAP серверов, реализующее веб-интерфейс на базе AJAX с возможностью изменения внешнего вида, неправильно вычищает параметр _session в steps/utils/save_pref.inc во время сохранения настроек. Уязвимость может использоваться для перезаписи настроек и в последующем может использоваться для предоставления доступа к случайным файлам, манипулирования запросами SQL и даже выполнения кода.

roundcube в предыдущем стабильном выпуске (squeeze) не подвержен этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.7.2-9+deb7u1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Мы рекомендуем обновить пакеты roundcube.