DFN-CERT-2015-2002 Roundcubemail: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2015-2002 Roundcubemail: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Roundcube Webmail <= 1.0.7 Roundcube Webmail <= 1.1.3 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in Roundcubemail erlauben einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und Ausführen beliebigen Programmcodes. Für Fedora 22 und 23 sowie EPEL 6 und 7 stehen Sicherheitsupdates auf die Roundcubemail Versionen 1.0.8 bzw. 1.1.4 in Form der Pakete roundcubemail-1.1.4-2.fc22, roundcubemail-1.1.4-2.fc23, roundcubemail-1.0.8-1.el6 und roundcubemail-1.1.4-2.el7 im Status 'pending' bzw. 'testing' zur Verfügung. Patch: Fedora Security Update EDORA-2015-431d39fbff (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2015-431d39fbff

Patch:

Fedora Security Update FEDORA-2015-6e299214b8 (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-6e299214b8

Patch:

Fedora Security Update FEDORA-EPEL-2015-5538691958 (EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-5538691958

Patch:

Fedora Security Update FEDORA-EPEL-2015-d47aefe0b2 (EPEL 6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d47aefe0b2

Roundcube Bug ID 1490620: Schwachstelle in Roundcubemail erlaubt Ausführen
beliebigen Programmcodes

Eine Path-Traversal-Schwachstelle existiert beim Setzen einer
Oberflächeneinstellung (Skin) aufgrund der Verwendung unsicherer Eingaben
für die Erzeugung von Pfadnamen auf Verzeichnisse oder Dateien außerhalb des
eingeschränkten Verzeichnisses. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, wenn er in der Lage ist,
Dateien auf dem Webserver anzulegen und über ein gültiges
Roundcube-Benutzerkonto verfügt, um beliebige Dateien auf dem angegriffenen
System zu lesen oder sogar Programmcode zur Ausführung zu bringen.

Red Hat Bug ID 1269155: Schwachstelle in Roundcubemail erlaubt Ausspähen von
Informationen

In Roundcubemail existiert eine Schwachstelle, weil bei der Installation von
Roundcubemail die Verzeichnisse ‘/var/lib/roundcubemail’ und
‘/var/log/roundcubemail’ mit unsicheren Zugriffsrechten angelegt werden,
wodurch jeder auf dem Host lesenden Zugriff auf sensible Daten erhält. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-2002/

Fedora Security Update EDORA-2015-431d39fbff (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-431d39fbff

Fedora Security Update FEDORA-2015-6e299214b8 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-6e299214b8

Fedora Security Update FEDORA-EPEL-2015-5538691958 (EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-5538691958

Fedora Security Update FEDORA-EPEL-2015-d47aefe0b2 (EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d47aefe0b2

Red Hat Bug ID 1269155 – Insecure permissions of /var/lib/roundcubemail and
/var/log/roundcubemail :
https://bugzilla.redhat.com/show_bug.cgi?id=1269155

Roundcube Ticket # 1490620:
http://trac.roundcube.net/ticket/1490620

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben