2017-1991: Roundcube Webmail: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-11-09 16:53)

Neues Advisory

Version 2 (2017-11-10 10:21)

Für Debian Stretch steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Version 3 (2025-01-13 15:04)

Canonical stellt für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'roundcube' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer mit einer gültigen Roundcube-Sitzung kann die Schwachstelle mit Hilfe spezieller Eingaben lokal ausnutzen, um Dateien auszuspähen, auf die Roundcube Webmail Zugriff hat, und dadurch möglicherweise weitere Angriffe durchführen.

Der Hersteller informiert über die bereits aktiv ausgenutzte Schwachstelle und stellt die Versionen 1.3.3, 1.2.7, 1.1.10 und 1.0.12 als Sicherheitsupdates bereit. Den Roundcube-Entwicklern zufolge ist der Versionszweig 1.0.x nicht von der Schwachstelle betroffen und wurde dennoch mit einem Patch versehen, um etwaigen unbekannten Schwachstellen vorzubeugen. Der referenzierte Sicherheitshinweise enthält darüber hinaus detaillierte Informationen darüber, wie verwundbare Instanzen erkannt und die verursachenden Benutzerkonten identifiziert werden können.

Für Fedora 26 und 27 steht Roundcube 1.3.3 und für Fedora EPEL 7 Roundcube 1.1.10 als Sicherheitsupdate bereit. Außerdem steht für die Distribution Fedora EPEL 6 Roundcube 1.0.12 bereit. Die Sicherheitsupdates befinden sich im Status 'pending'.

Schwachstellen:

CVE-2017-16651

Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.