Actualizări de securitate pentru Roundcube Webmail
Sursă: https://cybersecuritynews.com
Roundcube Webmail, un client de e-mail IMAP open-source bazat pe web, foarte utilizat, a lansat versiunea 1.6.14, care include remedieri de securitate critice menite să rezolve mai multe vulnerabilități severe din ramura 1.6.x.
Această versiune remediază o serie complexă de vulnerabilități de securitate, de la erorir de tip pre-authentication arbitrary file write până la atacuri de tip cross-site scripting (XSS) și server-side request forgery (SSRF).
Administratorii de sistem sunt îndemnați cu insistență să instaleze această actualizare pentru a-și proteja infrastructura împotriva unei posibile exploatări.
Cea mai severă vulnerabilitate remediată în această versiune implică o eroare ce permite scrierea arbitrară de fișiere înainte de autentificare. Această problemă provine dintr-un mod nesigur de a reconstrui datele salvate (proces numit deserializare) în modulele de gestionare a sesiunilor Redis și Memcached.
Deoarece această vulnerabilitate nu necesită autentificarea atacatorului, ea prezintă un risc semnificativ de executare de cod la distanță fără autentificare pe serverele web vulnerabile.
Dacă este exploatată, atacatorii ar putea obține controlul complet asupra aplicației. În plus, actualizarea remediază o vulnerabilitate SSRF și una de divulgare a informațiilor.
Această vulnerabilitate le permitea persoanelor rău intenționate să exploateze legăturile către fișierele de style pentru a accesa host-urile din rețeaua locală.
Această vulnerabilitate le-ar putea permite atacatorilor să mapeze arhitecturile rețelelor interne sau să extragă date sensibile din servicii interne ascunse, care sunt în mod normal protejate de internetul public.
Versiunea 1.6.14 remediază, de asemenea, o eroare logică critică în mecanismele de gestionare a conturilor.
În plus, o echipa de specialiști în domeniul securității au identificat o vulnerabilitate combinată de tip IMAP injection și Cross-Site Request Forgery (CSRF) bypass în cadrul funcționalității de căutare a mesajelor.
Această vulnerabilitate ar putea permite actorilor rău intenționați să manipuleze comenzile serverului de e-mail din backend și să efectueze acțiuni neautorizate în numele unui utilizator autentificat în acel moment.
Echipa de developeri a remediat mai multe vulnerabilități de pe partea clientului care ar fi putut permite executarea sau urmărirea unor coduri rău intenționate în browserul utilizatorului.
O vulnerabilitate de tip XSS prezentă în funcția de previzualizare a atașamentelor HTML a fost remediată cu succes. Au fost remediate, de asemenea, mai multe metode utilizate pentru a ocoli blocarea imaginilor de la distanță.
Blocarea imaginilor de la distanță este o funcție vitală de confidențialitate care împiedică expeditorii de e-mailuri să utilizeze pixeli de urmărire pentru a confirma dacă un e-mail a fost deschis.
Pe lângă lista extinsă de remedieri de securitate, versiunea 1.6.14 include un patch funcțional care remediază problemele legate de conexiunile la baza de date PostgreSQL care utilizează adrese IPv6.
Echipa de developeri Roundcube consideră această versiune extrem de stabilă. Aceștia recomandă administratorilor să actualizeze imediat toate versiunile de producție ale Roundcube 1.6.x pentru a-și securiza mediile.
Administratorii de sistem trebuie să salveze în siguranță toate datele din baze de date și aplicații înainte de a iniția procesul de actualizare, pentru a preveni pierderea neașteptată a datelor.
Sursă: https://cybersecuritynews.com/roundcube-webmail-security-updates/
