Bulletin d'alerte Debian

DLA-933-1 roundcube -- Mise à jour de sécurité pour LTS

Date du rapport :
7 mai 2017
Paquets concernés :
roundcube
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 861388.
Dans le dictionnaire CVE du Mitre : CVE-2017-8114.
Plus de précisions :

La messagerie web Roundcube permet des réinitialisations arbitraires de mot de passe par des utilisateurs authentifiés. Ce problème est dû à un appel exec non correctement limité dans les pilotes virtualmin et sasl du greffon de mot de passe.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.7.2-9+deb7u7.

Nous vous recommandons de mettre à jour vos paquets roundcube.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.