Bulletin d'alerte Debian

DLA-2322-1 roundcube -- Mise à jour de sécurité pour LTS

Date du rapport :
11 août 2020
Paquets concernés :
roundcube
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 968216.
Dans le dictionnaire CVE du Mitre : CVE-2020-16145.
Plus de précisions :

Une vulnérabilité a été découverte dans roundcube, une solution web de messagerie personnalisable et basée sur AJAX pour les serveurs IMAP. Les messages HTML avec du contenu math ou svg malveillant peuvent exploiter une vulnérabilité de script intersite (XSS).

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.2.3+dfsg.1-4+deb9u7.

Nous vous recommandons de mettre à jour vos paquets roundcube.

Pour disposer d'un état détaillé sur la sécurité de roundcube, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/roundcube

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.