De nouvelles mises à jour de sécurité sur Roundcube Webmail ont été publiées

Roundcube vient de publier des mises à jour de sécurité pour toutes les versions stables de RoundCube Webmail à partir des versions 1.1.x. Ces mises à jour corrigent une vulnérabilité permettant d'accéder à des fichiers sur le système de fichiers du poste client.

RoundCube Webmail est un client de messagerie basé sur navigateur implémentant le protocole IMAP. Il fournit toutes les fonctionnalités d’un outil de messagerie classique : support des types MIME, présence d'un carnet d'adresses, manipulation de dossiers, recherche de messages et vérification orthographique. RoundCube Webmail s’appuie sur le langage PHP et nécessite la mise en place d'une base de données parmi MySQL, PostgreSQL et SQLite. L'interface utilisateur est entièrement personnalisable à l'aide de XHTML et CSS 2.

Roundcube Webmail, pour les versions antérieures à 1.1.10, 1.2.x, 1.2.7, et 1.3.3 permet un accès non autorisé aux fichiers sur le système de fichiers de l'hôte, y compris certains fichiers de configuration. Pour exploiter la vulnérabilité, l’attaquant doit être en mesure d'obtenir un nom d'utilisateur/mot de passe valide pour le client de messagerie. La vulnérabilité est liée aux plugins de gestion des pièces jointes et aux paramètres suivants des requêtes associées : _task = settings & _action = upload-display & _from = fuseau horaire.

La vulnérabilité a été référencée par la CVE CVE-2017-16651. Plus de détails techniques seront bientôt publiés de la part de l'éditeur.

Informations
+

Impact

  • Divulgation d’information
  • Accès non autorisé à des fichiers

Criticité

  • CVSS v3 : Non définie

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Roundcube Webmail versions antérieures à 1.1.10, versions 1.2.x antérieures à 1.2.7, et 1.3.x antérieures à 1.3.3

CVE

  • CVE-2017-16651

Recommandations
+

Correctifs

Il est recommandé de mettre à jour toutes les installations en production de Roundcube avec l'une des versions non-vulnérables suivantes :

En cas de détection de l'exploitation de la vulnérabilité, il est recommandé de changer toutes les informations d'identification pour les services externes comme la base de données ou les carnets d'adresses LDAP ainsi que l'option « des_key » dans la configuration.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.