Bulletin d'alerte Debian

DLA-392-1 roundcube -- Mise à jour de sécurité pour LTS

Date du rapport :
17 janvier 2016
Paquets concernés :
roundcube
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8770.
Plus de précisions :

Le laboratoire de recherche sur la sécurité High-Tech Bridge a découvert une vulnérabilité de traversée de répertoires dans Roundcube, un client de messagerie web populaire. La vulnérabilité peut être exploitée pour obtenir l'accès à des informations sensibles et, dans certaines circonstances, pour exécuter du code arbitraire et compromettre totalement le serveur vulnérable.

La vulnérabilité existe à cause d'une vérification insuffisante du paramètre HTTP POST _skin dans le script /index.php lors du changement entre différents thèmes de l'application web. Un attaquant distant authentifié peut utiliser une série de traversées de répertoires (par exemple "../../") pour charger un nouveau thème à partir d'un emplacement arbitraire dans le système, lisible par le serveur web.