Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2787-1 roundcube

Säkerhetsbulletin från Debian

DSA-2787-1 roundcube -- designfel

Rapporterat den:

2013-10-27

Berörda paket:

roundcube

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 727668.
I Mitres CVE-förteckning: CVE-2013-6172.

Ytterligare information:

Man har upptäckt att roundcube, en anpassningsbar AJAX-baserad webmaillösning för IMAP-servrar, inte städar _session-parametern ordentligt i steps/utils/save_pref.inc vid sparande av inställningarna. Sårbarheten kan exploateras för att skriva över konfigurationsinställningar och kan som en följd tillåta godtycklig filåtkomst, manipulerade SQL-förfrågningar och till och med exekvering av godtycklig kod.

roundcube i den gamla stabila utgåvan (Squeeze) påverkas inte av detta problem.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.7.2-9+deb7u1.

För den instabila utgåvan (Sid), kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era roundcube-paket.