Sicherheitslücke bedroht Roundcube-Webmail
Mit einer geschickt präparierten E-Mail lässt sich ein Bug in Roundmail dazu missbrauchen, eigene Befehle auszuführen.
Die Entwickler des PHP-Security-Scanners RIPShaben im Webmailer Roundcube eine Sicherheitslücke ausfindig gemacht , die Angreifer dazu verwenden können, um eigenen Code auszuführen. Betroffen sind Roundcube-Versionen bis 1.2.2; in Version 1.2.3 wurde der Fehler behoben.
Damit ein Angriff erfolgreich ist, müssen einige Voraussetzungen erfüllt sein: Roundcube muss die mail()-Funktion von PHP verwenden, die wiederum auf sendmail zurückgreifen muss. Darüber hinaus muss der safe_mode von PHP deaktiviert sein und der Angreifer muss den absoluten Pfad zum Webserver-Root erraten. Sind diese Vorausetzungen erfüllt, lassen sich mit einer entsprechenden präparierten E-Mail eigene Befehle auf dem Server ausführen.
Die neueste Version 1.2.3 steht auf der Roundcube-Homepage zum Download bereit. Auch von der LTS-Version gibt es ein aktualisiertes Paket 1.1.7.
Ähnliche Artikel
-
Das Mailserver-Paket Mailcow
-
Management-GUI für Postfix
Ein neues Tool will beim Management virtueller Mail-User auf Postfix- und Dovecot-Servern helfen.
-
Sicherheitslücke bedroht virtualisierte Systeme auf Intel-Prozessoren
Auf 64-Bit-Prozessoren von Intel gibt es eine Sicherheitslücke, die es Angreifern in Gastsystemen erlaubt die Rechte des Host-Systems zu erlangen. Betroffen sind davon viele Betriebssysteme.
-
Webmail mit Horde
-
Kernel-Bug in DCCP bedroht Linux-Systeme
Die Sicherheitslücke kann von lokalen Benutzern verwendet werden, um eigenen Code auszuführen.
Konfigurationsmanagement
Themen
