Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5037-1 roundcube

Debians sikkerhedsbulletin

DSA-5037-1 roundcube -- sikkerhedsopdatering

Rapporteret den:

8. jan 2022

Berørte pakker:

roundcube

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 1003027.
I Mitres CVE-ordbog: CVE-2021-46144.

Yderligere oplysninger:

Man opdagede at roundcube, en temaunderstøttende AJAX-baseret webmailløsning til IMAP-servere, ikke på korrekt vis rensede HTML-meddelelser. Dermed var det muligt for en angriber at udføre skripter på tværs af websteder (XSS).

I den gamle stabile distribution (buster), er dette problem rettet i version 1.3.17+dfsg.1-1~deb10u2.

I den stabile distribution (bullseye), er dette problem rettet i version 1.4.13+dfsg.1-1~deb11u1.

Vi anbefaler at du opgraderer dine roundcube-pakker.

For detaljeret sikkerhedsstatus vedrørende roundcube, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/roundcube