DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1991: Roundcube Webmail: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie

Version 1 (2017-11-09 15:53)
Neues Advisory
Version 2 (2017-11-10 09:21)
Für Debian Stretch steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Betroffene Software

Roundcube Webmail < 1.0.12
Roundcube Webmail < 1.1.10
Roundcube Webmail < 1.2.7
Roundcube Webmail < 1.3.3

Betroffene Plattformen

Debian Linux 9.2 Stretch
GNU/Linux
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Lösung

Patch

Fedora Security Update FEDORA-2017-1560290881 (Fedora 26, roundcubemail-1.3.3-1)

Patch

Fedora Security Update FEDORA-2017-cbc49efae8 (Fedora 27, roundcubemail-1.3.3-1)

Patch

Fedora Security Update FEDORA-EPEL-2017-227eb8f562 (Fedora EPEL 7, roundcubemail-1.1.10-1)

Patch

Fedora Security Update FEDORA-EPEL-2017-b490886f67 (Fedora EPEL 6, roundcubemail-1.0.12-1)

Patch

Roundcube Webmail - Security updates 1.3.3, 1.2.7 and 1.1.10 released

Patch

Debian Security Advisory DSA-4030-1

Beschreibung

Ein entfernter, einfach authentisierter Angreifer mit einer gültigen Roundcube-Sitzung kann mit Hilfe spezieller Eingaben Dateien ausspähen, auf die Roundcube Webmail Zugriff hat, und dadurch möglicherweise weitere Angriffe durchführen.

Der Hersteller informiert über die bereits aktiv ausgenutzte Schwachstelle und stellt die Versionen 1.3.3, 1.2.7, 1.1.10 und 1.0.12 als Sicherheitsupdates bereit. Den Roundcube-Entwicklern zufolge ist der Versionszweig 1.0.x nicht von der Schwachstelle betroffen und wurde dennoch mit einem Patch versehen, um etwaigen unbekannten Schwachstellen vorzubeugen. Der referenzierte Sicherheitshinweise enthält darüber hinaus detaillierte Informationen darüber, wie verwundbare Instanzen erkannt und die verursachenden Benutzerkonten identifiziert werden können.

Für Fedora 26 und 27 steht Roundcube 1.3.3 und für Fedora EPEL 7 Roundcube 1.1.10 als Sicherheitsupdate bereit. Außerdem steht für die Distribution Fedora EPEL 6 Roundcube 1.0.12 bereit. Die Sicherheitsupdates befinden sich im Status 'pending'.

Schwachstellen

CVE-2017-16651: Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von Informationen

Eine fehlerhafte Prüfung von Nutzereingaben ermöglicht in Kombination mit per Default aktivierten Plugins, die dateibasierte Anhänge ermöglichen, das Ausspähen von Dateien, auf die der Webserver Zugriff hat. Insbesondere kann die Konfigurationsdatei von Roundcube eingesehen werden, wodurch beispielsweise der Zugang zur Datenbank offengelegt wird.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.