Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4674-1 roundcube

Debians sikkerhedsbulletin

DSA-4674-1 roundcube -- sikkerhedsopdatering

Rapporteret den:

5. maj 2020

Berørte pakker:

roundcube

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 959140, Fejl 959142.
I Mitres CVE-ordbog: CVE-2020-12625, CVE-2020-12626.

Yderligere oplysninger:

Man opdagede at roundcube, en temaunderstøttende AJAX-baseret webmailløsning til IMAP-servere, ikke på korrekt vis behandlede og fornuftighedskontrollerede forespørgsler. Dermed var det muligt for en fjernangriber at iværksætte enten forfalskning af forespørgsler på tværs af websteder (CSRF), som tvang en autentificeret bruger til at blive logget af, eller udførelse af skripter på tværs af websteder (XSS) førende til udførelse af vilkårlig kode.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 1.2.3+dfsg.1-4+deb9u4.

I den stabile distribution (buster), er disse problemer rettet i version 1.3.11+dfsg.1-1~deb10u1.

Vi anbefaler at du opgraderer dine roundcube-pakker.

For detaljeret sikkerhedsstatus vedrørende roundcube, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/roundcube