Bulletin d'alerte Debian

DSA-4700-1 roundcube -- Mise à jour de sécurité

Date du rapport :
11 juin 2020
Paquets concernés :
roundcube
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 962123, Bogue 962124.
Dans le dictionnaire CVE du Mitre : CVE-2020-13964, CVE-2020-13965.
Plus de précisions :

Matei Badanoiu et LoRexxar@knownsec ont découvert que roundcube, une solution web de messagerie personnalisable et basée sur AJAX pour les serveurs IMAP, ne traitait ni ne nettoyait pas correctement les requêtes. Cela pourrait permettre à un attaquant distant de réaliser une attaque de script intersite (XSS) menant à l'exécution de code arbitraire.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 1.2.3+dfsg.1-4+deb9u5.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1.3.13+dfsg.1-1~deb10u1.

Nous vous recommandons de mettre à jour vos paquets roundcube.

Pour disposer d'un état détaillé sur la sécurité de roundcube, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/roundcube.