Säkerhetsbulletin från Debian

DSA-4181-1 roundcube -- säkerhetsuppdatering

Rapporterat den:
2018-04-28
Berörda paket:
roundcube
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 895184.
I Mitres CVE-förteckning: CVE-2018-9846.
Ytterligare information:

Andrea Basile upptäckte att insticksmodulen archive i roundcube, en anpassningsbar AJAX-baserad webbmaillösning för IMAP-servrar, inte rengör en användarkontrollerad parameter ordentligt, vilket tillåter en fjärrangripare att injicera godtyckliga IMAP-kommandon och utföra illasinnade handlingar.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.2.3+dfsg.1-4+deb9u2.

Vi rekommenderar att ni uppgraderar era roundcube-paket.

För detaljerad säkerhetsstatus om roundcube vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/roundcube