2024-2010: Roundcube Webmail: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2024-08-06 17:37)
- Neues Advisory
- Version 2 (2024-08-07 10:33)
- Für Fedora 39 und 40 stehen Sicherheitsupdates in Form von 'roundcubemail-1.6.8-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
- Version 3 (2024-08-08 17:07)
- Für Debian 12 Bookworm (stable) steht ein Sicherheitsupdate für 'roundcube' in Version 1.6.5+dfsg-1+deb12u3 bereit, um die Schwachstellen zu beheben.
- Version 4 (2024-08-13 14:23)
- Für Debian 11 Bullseye (oldstable) steht ein Sicherheitsupdate für 'roundcube' in Version 1.4.15+dfsg.1-1+deb11u4 bereit, um die Schwachstellen zu beheben. Für Debian 12 Bookworm (stable) wurden die Schwachstellen bereits mit DSA-5743-1 adressiert. Hierdurch wurde allerdings eine Regression in den Druckvoransichten (Print Previews) eingeführt, welche nun mit der Version 1.6.5+dfsg-1+deb12u4 adressiert wird.
- Version 5 (2024-10-09 18:20)
- Für openSUSE Backports SLE 15 SP5 und 15 SP6 stehen Sicherheitsupdates für 'roundcubemail' auf Version 1.6.8 bereit, um die Schwachstellen zu beheben.
Betroffene Software
Office
Server
Betroffene Plattformen
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und um gefälschte E-Mails im Namen des angegriffenen Benutzers zu versenden.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Der Hersteller informiert über die Schwachstellen und behebt diese mit den Sicherheitsupdates 1.5.8 und 1.6.8.
Für Fedora EPEL 9 steht das Sicherheitsupdate 'roundcubemail-1.5.8-1' im Status 'testing' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2024-42008
Schwachstelle in Roundcube Webmail ermöglicht u. a. Cross-Site-Scripting-AngriffCVE-2024-42009
Schwachstelle in Roundcube Webmail ermöglicht u. a. Cross-Site-Scripting-AngriffCVE-2024-42010
Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.