DFN-CERT-2016-1956 Roundcubemail: Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe [Linux][Fedora]

DFN-CERT-2016-1956 Roundcubemail: Eine Schwachstelle ermöglicht nicht spezifizierte Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

roundcubemail < 1.1.7 roundcubemail < 1.2.3 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Der Hersteller hat zur Behebung einer nicht näher spezifizierten Schwachstelle in Roundcubemail die Programmversionen 1.1.7 und 1.2.3 veröffentlicht und gibt an, zeitnah weitere Details zu der Schwachstelle veröffentlichen zu wollen. Für Fedora 23, 24 und 25 steht die Version 1.2.3 und für Fedora EPEL 7 die Version 1.1.7 als Sicherheitsupdate zur Verfügung; die Sicherheitsupdates für Fedora 24 und 25 befinden sich im Status 'pending', jene für Fedora 23 und Fedora EPEL 7 im Status 'testing'. Patch: Fedora Security Update FEDORA-2016-60753c3dcd (Fedora 24, roundcubemail-1.2.3-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-60753c3dcd

Patch:

Fedora Security Update FEDORA-2016-b4896f20b3 (Fedora 23,
roundcubemail-1.2.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-b4896f20b3

Patch:

Fedora Security Update FEDORA-2016-d361d188d9 (Fedora 25,
roundcubemail-1.2.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d361d188d9

Patch:

Fedora Security Update FEDORA-EPEL-2016-7059e6dc35 (Fedora EPEL 7,
roundcubemail-1.1.7-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7059e6dc35

ROUNDCUBEMAIL-BUG-noID: Schwachstelle in Roundcubemail ermöglicht nicht
spezifizierte Angriffe

In Roundcubemail besteht eine derzeit nicht weiter beschriebene
Schwachstelle im Zusammenhang mit dem Argument ‘additional_parameters’ der
PHP-Funktion ‘mail’, mit dem zusätzliche Marker (Flags) als
Kommandozeilenoptionen an Programme, die für den Emailversand über die
Einstellung ‘sendmail_path’ konfiguriert sind, übergeben werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1956/

Fedora Security Update FEDORA-2016-60753c3dcd (Fedora 24,
roundcubemail-1.2.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-60753c3dcd

Fedora Security Update FEDORA-2016-b4896f20b3 (Fedora 23,
roundcubemail-1.2.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b4896f20b3

Fedora Security Update FEDORA-2016-d361d188d9 (Fedora 25,
roundcubemail-1.2.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d361d188d9

Fedora Security Update FEDORA-EPEL-2016-7059e6dc35 (Fedora EPEL 7,
roundcubemail-1.1.7-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7059e6dc35

Roundcubemail 1.2.3 and 1.1.7 Release-Notes:
https://roundcube.net/news/2016/11/28/updates-1.2.3-and-1.1.7-released

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben