UPDATE: DFN-CERT-2015-0147 Roundcube Webmail: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Fedora][SuSE]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.02.2015):
Für openSUSE 13.1 und openSUSE 13.2 stehen Sicherheitsupdates zur
Verfügung.
Version 2 (06.02.2015):
Für die Distributionen Fedora 20 und 21 sowie Fedora EPEL 6 und 7 wurden
Sicherheitsupdates bereitgestellt.
Version 1 (04.02.2015):
Neues Advisory

Betroffene Software:

Roundcube Webmail <= 1.0.4 Betroffene Plattformen: openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in Roundcube Webmail ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Cross-Site-Scripting-Angriff durchzuführen. Die Version 1.0.5 wurde zur Behebung der Schwachstelle bereitgestellt. Patch: http://roundcube.net/news/2015/01/24/security-update-1.0.5/

http://roundcube.net/news/2015/01/24/security-update-1.0.5/

Patch:

Fedora Security Update FEDORA-2015-1761

https://admin.fedoraproject.org/updates/FEDORA-2015-1761/roundcubemail-1.0.5-1.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2015-0630

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0630/roundcubemail-1.0.5-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2015-0647

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0647/roundcubemail-1.0.5-1.el7

Patch:

Fedora Security Update Security FEDORA-2015-1772

https://admin.fedoraproject.org/updates/FEDORA-2015-1772/roundcubemail-1.0.5-1.fc21

Patch:

openSUSE Security Update openSUSE-SU-2015:0286-1

http://lists.opensuse.org/opensuse-updates/2015-02/msg00064.html

CVE-2015-1433: Schwachstelle in Roundcube ermöglicht
Cross-Site-Scripting-Angriff

Eine Schwachstelle in der Datei program/lib/Roundcube/rcube_washtml.php in
Roundcube verhindert, dass Zeichenketten, in einem HTML-Style-Attribut,
korrekt in Anführungszeichen gesetzt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0147/

http://roundcube.net/news/2015/01/24/security-update-1.0.5/:
http://roundcube.net/news/2015/01/24/security-update-1.0.5/

Schwachstelle CVE-2015-1433 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1433

http://trac.roundcube.net/ticket/1490227:
http://trac.roundcube.net/ticket/1490227

Fedora Security Update FEDORA-2015-1761:
https://admin.fedoraproject.org/updates/FEDORA-2015-1761/roundcubemail-1.0.5-1.fc20

Fedora Security Update FEDORA-EPEL-2015-0630:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0630/roundcubemail-1.0.5-1.el6

Fedora Security Update FEDORA-EPEL-2015-0647:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0647/roundcubemail-1.0.5-1.el7

Fedora Security Update Security FEDORA-2015-1772:
https://admin.fedoraproject.org/updates/FEDORA-2015-1772/roundcubemail-1.0.5-1.fc21

openSUSE Security Update openSUSE-SU-2015:0286-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00064.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.