Säkerhetsbulletin från Debian

DSA-2787-1 roundcube -- designfel

Rapporterat den:
2013-10-27
Berörda paket:
roundcube
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 727668.
I Mitres CVE-förteckning: CVE-2013-6172.
Ytterligare information:

Man har upptäckt att roundcube, en anpassningsbar AJAX-baserad webmaillösning för IMAP-servrar, inte städar _session-parametern ordentligt i steps/utils/save_pref.inc vid sparande av inställningarna. Sårbarheten kan exploateras för att skriva över konfigurationsinställningar och kan som en följd tillåta godtycklig filåtkomst, manipulerade SQL-förfrågningar och till och med exekvering av godtycklig kod.

roundcube i den gamla stabila utgåvan (Squeeze) påverkas inte av detta problem.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.7.2-9+deb7u1.

För den instabila utgåvan (Sid), kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era roundcube-paket.