Kurzinfo CB-K16/1884

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Roundcubemail: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Administratorrechten
Datum: 07.12.2016
Software: Roundcube Webmail
Plattform: openSUSE 13.2, openSUSE Leap 42.1, openSUSE Leap 42.2
Auswirkung: Ausführen beliebigen Programmcodes mit Administratorrechten
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-2181, CVE-2016-5103
Bezug: openSUSE Security Update openSUSE-SU-2016:3038-1
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Roundcube Webmail ist ein Browser-basierter, mehrsprachiger IMAP-Client.

Eine Schwachstelle im Passwort-Plugin von Roundcubemail ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes mit Administratorrechten. Ein entfernter, nicht authentifizierter Angreifer kann mittels einer präparierten Email einen Cross-Site-Scripting (XSS)-Angriff durchführen. Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.1 wurde Roundcubemail in der Version 1.1.7 bereitgestellt, um diese Schwachstellen zu beheben. Für openSUSE 13.2 steht ein Backport-Sicherheitsupdate zur Verfügung, welches die Schwachstelle CVE-2016-5103 adressiert.

  1. Schwachstelle CVE-2015-2181 (NVD)

  2. Schwachstelle CVE-2016-5103 (NVD)

  3. openSUSE Security Update openSUSE-SU-2016:3032-1

  4. openSUSE Security Update openSUSE-SU-2016:3038-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.