Roundcube web posta sisteminde bazıları kritik olan birkaç güvenlik açığı vardı. Geliştirme ekibi sorunu düzeltti ve şimdi 1.7 sürümü için beşinci ve “umarım son” adayı yayınladı. Önceki sürümler aynı zamanda boşluklar için yamalar da alıyor.
Duyurudan sonra devamını okuyun
Muhtemelen en tehlikeli güvenlik kusuru Redis/memcache aracılığıyla oturum yönetimidir: Saldırganların önceden kayıt olmadan web sunucusuna rasgele dosyalar yazmasına olanak tanır. Başka bir talihsiz şey: Bazı durumlarda bir Roundcube kullanıcısının şifresini eski şifresini bilmeden değiştirmeye izin veren başka bir güvenlik açığı. Şu anda herhangi bir güvenlik açığı için CVE tanımlayıcısı bulunmamaktadır.
Ek olarak, Roundcube geliştiricileri içerik filtrelerini atlamanın, özellikle de e-posta görünümündeki resimleri engellemenin çeşitli yollarını düzeltti. Bağımsız güvenlik araştırmacıları ayrıca IMAP enjeksiyonu, siteler arası komut dosyası çalıştırma ve SSRF'yi de keşfetti ve bildirdi.
Güncellemeler ortaya çıktı
Şu anda bakımı yapılan üç Roundcube sürümünün hatası düzeltilmiş sürümleri yayınlandı:
- Yuvarlak küp 1.7rc5,
- Yuvarlak küp 1.6.14 e
- Yuvarlak küp 1.5.14
İndirme bağlantıları ve bireysel güvenlik açıklarına ilişkin bazı kısa bilgiler Github'daki sürüm duyurusunda bulunabilir. Web postası geliştiricileri, tüm yöneticilerin web postalarını güncellemelerini şiddetle tavsiye eder. Roundcube güvenlik açıklarından yararlanılması, ABD siber güvenlik kurumu CISA'nın Şubat ayının sonlarında bir uyarı almasına yol açtı.
Duyurudan sonra devamını okuyun
(cku)
Bir yanıt yazın