Bulletin d'alerte Debian

DLA-613-1 roundcube -- Mise à jour de sécurité pour LTS

Date du rapport :
8 septembre 2016
Paquets concernés :
roundcube
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 822333, Bogue 775576, Bogue 776700.
Dans le dictionnaire CVE du Mitre : CVE-2014-9587, CVE-2015-1433, CVE-2016-4069.
Plus de précisions :

Plusieurs problèmes de CSRF et XSS permettent à des attaquants distants de détourner l'authentification et d'exécuter des opérations roundcube sans l'accord de l'utilisateur. Dans certains cas, cela pourrait avoir pour conséquence la perte ou le vol de données.

  • CVE-2014-9587

    Plusieurs vulnérabilités de contrefaçon de requête intersite (CSRF) permettent à des attaquants distants de détourner l'authentification de victimes non précisées au moyen de vecteurs inconnus, liés à (1) des opérations de carnet d'adresses ou aux greffons (2) ACL ou (3) Managesieve.

  • CVE-2015-1433

    Une logique de guillemets incorrecte durant le nettoyage des attributs de style HTML permet à des attaquants distants d'exécuter du code JavaScript arbitraire sur le navigateur de l'utilisateur.

  • CVE-2016-4069

    Une vulnérabilité de contrefaçon de requête intersite (CSRF) permet à des attaquants distants de détourner l'authentification d'utilisateurs pour des requêtes qui téléchargent des pièces jointes et causent un déni de service (consommation d'espace disque) au moyen de vecteurs non précisés.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.7.2-9+deb7u4.

Nous vous recommandons de mettre à jour vos paquets roundcube.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.