Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Roundcube Webmail < 1.0.12 Roundcube Webmail < 1.1.10 Roundcube Webmail < 1.2.7 Roundcube Webmail < 1.3.3 Betroffene Plattformen: GNU/Linux Red Hat Fedora 26 Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, einfach authentisierter Angreifer mit einer gültigen Roundcube-Sitzung kann mit Hilfe spezieller Eingaben Dateien ausspähen, auf die Roundcube Webmail Zugriff hat, und dadurch möglicherweise weitere Angriffe durchführen. Der Hersteller informiert über die bereits aktiv ausgenutzte Schwachstelle und stellt die Versionen 1.3.3, 1.2.7, 1.1.10 und 1.0.12 als Sicherheitsupdates bereit. Den Roundcube-Entwicklern zufolge ist der Versionszweig 1.0.x nicht von der Schwachstelle betroffen und wurde dennoch mit einem Patch versehen, um etwaigen unbekannten Schwachstellen vorzubeugen. Der referenzierte Sicherheitshinweise enthält darüber hinaus detaillierte Informationen darüber, wie verwundbare Instanzen erkannt und die verursachenden Benutzerkonten identifiziert werden können. Für Fedora 26 und 27 steht Roundcube 1.3.3 und für Fedora EPEL 7 Roundcube 1.1.10 als Sicherheitsupdate bereit. Außerdem steht für die Distribution Fedora EPEL 6 Roundcube 1.0.12 bereit. Die Sicherheitsupdates befinden sich im Status 'pending'. Patch: Fedora Security Update FEDORA-2017-1560290881 (Fedora 26, roundcubemail-1.3.3-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-1560290881

Patch:

Fedora Security Update FEDORA-2017-cbc49efae8 (Fedora 27,
roundcubemail-1.3.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cbc49efae8

Patch:

Fedora Security Update FEDORA-EPEL-2017-227eb8f562 (Fedora EPEL 7,
roundcubemail-1.1.10-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-227eb8f562

Patch:

Fedora Security Update FEDORA-EPEL-2017-b490886f67 (Fedora EPEL 6,
roundcubemail-1.0.12-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b490886f67

Patch:

Roundcube Webmail – Security updates 1.3.3, 1.2.7 and 1.1.10 released

https://roundcube.net/news/2017/11/08/security-updates-1.3.3-1.2.7-and-1.1.10

CVE-2017-16651: Schwachstelle in Roundcube Webmail ermöglicht Ausspähen von
Informationen

Eine fehlerhafte Prüfung von Nutzereingaben ermöglicht in Kombination mit
per Default aktivierten Plugins, die dateibasierte Anhänge ermöglichen, das
Ausspähen von Dateien, auf die der Webserver Zugriff hat. Insbesondere kann
die Konfigurationsdatei von Roundcube eingesehen werden, wodurch
beispielsweise der Zugang zur Datenbank offengelegt wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1991/

Fedora Security Update FEDORA-2017-1560290881 (Fedora 26,
roundcubemail-1.3.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1560290881

Fedora Security Update FEDORA-2017-cbc49efae8 (Fedora 27,
roundcubemail-1.3.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cbc49efae8

Fedora Security Update FEDORA-EPEL-2017-227eb8f562 (Fedora EPEL 7,
roundcubemail-1.1.10-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-227eb8f562

Fedora Security Update FEDORA-EPEL-2017-b490886f67 (Fedora EPEL 6,
roundcubemail-1.0.12-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b490886f67

Roundcube Webmail – Security updates 1.3.3, 1.2.7 and 1.1.10 released:
https://roundcube.net/news/2017/11/08/security-updates-1.3.3-1.2.7-and-1.1.10

Schwachstelle CVE-2017-16651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16651

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.