Debians sikkerhedsbulletin
DSA-4674-1 roundcube -- sikkerhedsopdatering
- Rapporteret den:
- 5. maj 2020
- Berørte pakker:
- roundcube
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 959140, Fejl 959142.
I Mitres CVE-ordbog: CVE-2020-12625, CVE-2020-12626. - Yderligere oplysninger:
-
Man opdagede at roundcube, en temaunderstøttende AJAX-baseret webmailløsning til IMAP-servere, ikke på korrekt vis behandlede og fornuftighedskontrollerede forespørgsler. Dermed var det muligt for en fjernangriber at iværksætte enten forfalskning af forespørgsler på tværs af websteder (CSRF), som tvang en autentificeret bruger til at blive logget af, eller udførelse af skripter på tværs af websteder (XSS) førende til udførelse af vilkårlig kode.
I den gamle stabile distribution (stretch), er disse problemer rettet i version 1.2.3+dfsg.1-4+deb9u4.
I den stabile distribution (buster), er disse problemer rettet i version 1.3.11+dfsg.1-1~deb10u1.
Vi anbefaler at du opgraderer dine roundcube-pakker.
For detaljeret sikkerhedsstatus vedrørende roundcube, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/roundcube