DFN-CERT-2012-1226 Mehrere Schwachstellen in Roundcubemail [Linux][Fedora]

DFN-CERT-2012-1226 Mehrere Schwachstellen in Roundcubemail [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket roundcubemail

Betroffene Plattformen:

Fedora 16

Ein entfernter Angreifer kann mehrere Schwachstellen in Roundcube Webmail
ausnutzen, um an vertrauliche Informationen von Benutzern zu gelangen oder
um beliebigen Script- oder HTML-Code im Browser des Benutzers mit den
Rechten von Roundcube Webmail auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1253: Schwachstelle in Roundcube Webmail

In Roundcube Webmail vor Version 0.7 existiert bei der Verwendung des
Microsoft Internet Explorers eine Cross-Site Scripting (XSS) Schwachstelle,
die Bilder in Attachments betrifft. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Script- oder HTML-Code im Browser des
Benutzers mit den Rechten von Roundcube Webmail auszuführen.

CVE-2011-1492: Schwachstelle in Roundcube Webmail

Roundcube Webmail vor 0.5.1 verifiziert ausgehende Requests von Cascading
Style Sheets (CSS) ungenügend. Ein entfernter, authentifizierter Benutzer
kann diese Schwachstelle ausnutzen, um beliebige ausgehende TCP-Verbindungen
von dem Server zu initiieren. Dadurch kann dieser unter Umständen an
vertrauliche Informationen gelangen.

CVE-2011-1491: Schwachstelle in Roundcube Webmail

Das Login-Formular in Roundcube Webmail vor 0.5.1 behandelt Logins von
authentifizierten Benutzern in einer unsicheren Weise. Ein entfernter,
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um an
vertrauliche Informationen anderer Benutzer zu gelangen, indem er diese dazu
bringt, sich in den eigenen Account einzuloggen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1226/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082624.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082630.html

Schwachstelle CVE-2012-1253:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1253

Schwachstelle CVE-2011-1491:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1491

Schwachstelle CVE-2011-1492:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1492

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben