Информация по безопасности / 2013 / Информация о безопасности -- DSA-2787-1 roundcube

Рекомендация Debian по безопасности

DSA-2787-1 roundcube -- ошибка разработки

Дата сообщения:

27.10.2013

Затронутые пакеты:

roundcube

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 727668.
В каталоге Mitre CVE: CVE-2013-6172.

Более подробная информация:

Было обнаружено, что roundcube, решение для IMAP серверов, реализующее веб-интерфейс на базе AJAX с возможностью изменения внешнего вида, неправильно вычищает параметр _session в steps/utils/save_pref.inc во время сохранения настроек. Уязвимость может использоваться для перезаписи настроек и в последующем может использоваться для предоставления доступа к случайным файлам, манипулирования запросами SQL и даже выполнения кода.

roundcube в предыдущем стабильном выпуске (squeeze) не подвержен этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.7.2-9+deb7u1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Мы рекомендуем обновить пакеты roundcube.