Kurzinfo CB-K17/1907

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Roundcube Webmail: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Datum: 09.11.2017
Software: Roundcube Webmail < 1.0.12, Roundcube Webmail < 1.1.10, Roundcube Webmail < 1.2.7, Roundcube Webmail < 1.3.3
Plattform: GNU/Linux, Red Hat Fedora 26, Red Hat Fedora 27, Extra Packages for Red Hat Enterprise Linux 6, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2017-16651
Bezug: Fedora Security Update FEDORA-EPEL-2017-b490886f67 (Fedora EPEL 6, roundcubemail-1.0.12-1)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Roundcube Webmail ist ein Browser-basierter, mehrsprachiger IMAP-Client.

Ein entfernter, einfach authentisierter Angreifer mit einer gültigen Roundcube-Sitzung kann mit Hilfe spezieller Eingaben Dateien ausspähen, auf die Roundcube Webmail Zugriff hat, und dadurch möglicherweise weitere Angriffe durchführen. Der Hersteller informiert über die bereits aktiv ausgenutzte Schwachstelle und stellt die Versionen 1.3.3, 1.2.7, 1.1.10 und 1.0.12 als Sicherheitsupdates bereit. Den Roundcube-Entwicklern zufolge ist der Versionszweig 1.0.x nicht von der Schwachstelle betroffen und wurde dennoch mit einem Patch versehen, um etwaigen unbekannten Schwachstellen vorzubeugen. Der referenzierte Sicherheitshinweise enthält darüber hinaus detaillierte Informationen darüber, wie verwundbare Instanzen erkannt und die verursachenden Benutzerkonten identifiziert werden können. Für Fedora 26 und 27 steht Roundcube 1.3.3 und für Fedora EPEL 7 Roundcube 1.1.10 als Sicherheitsupdate bereit. Außerdem steht für die Distribution Fedora EPEL 6 Roundcube 1.0.12 bereit. Die Sicherheitsupdates befinden sich im Status 'pending'.

  1. Fedora Security Update FEDORA-2017-1560290881 (Fedora 26, roundcubemail-1.3.3-1)

  2. Fedora Security Update FEDORA-2017-cbc49efae8 (Fedora 27, roundcubemail-1.3.3-1)

  3. Fedora Security Update FEDORA-EPEL-2017-227eb8f562 (Fedora EPEL 7, roundcubemail-1.1.10-1)

  4. Fedora Security Update FEDORA-EPEL-2017-b490886f67 (Fedora EPEL 6, roundcubemail-1.0.12-1)

  5. Roundcube Webmail - Security updates 1.3.3, 1.2.7 and 1.1.10 released

  6. Schwachstelle CVE-2017-16651 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.