Linux / PHP / Java / Designer

As melhores dicas estão aqui.

RoundCube vulnerabilidade permite a injeção de código

| 1 Comentário

RoundCube, o PHP cliente de e-mail baseado na web, foi encontrada a ser vulneráveis e explorar um pouco antes do Natal foi publicado na Milw0rm páginas que permitiu atacantes para injetar código arbitrário no RoundCube aplicação. Tem marcado este bug Secunia como altamente crítica. RoundCube é software livre escrito em PHP, projetado para atuar como um gateway para o usuário da web correio usando o protocolo IMAP, com suporte para MIME, um livro de endereços, busca e verificação ortográfica.

Nas versões 0,2-1.alpha e 0,2-3.beta, um arquivo chamado html2text.php faz uso de preg_replace (). Infelizmente, a insuficiência de filtragem de dados torna possível para um invasor forçar a função de executar instruções arbitrária. A falha permite tomar o controle do software, se o cliente envia crafted HTML contendo dados nocivos cordas. Este bug pode ser usado, por exemplo, para roubar dados confidenciais de outros utilizadores do serviço de webmail, ou para perseguir Local Arquivo Inclusão (LF) e Remote File Inclusion (RFI) ataques.

RoundCube ter lançado um patch para o problema e que se lhe seguiu por libertação RoundCube 0,2 estável - incorporando o patch e cerca de 80 outras correções de bugs. Administradores são incentivados a actualizar o mais rapidamente possível.

Até o momento é recomendado desabilitar o RoundCube até que haja correção siga os passos:

WHM: Main >> Server Configuration >> Tweak Settings >> Mail

Desmarque:  "RoundCube Webmail"

One Comment

  1. Ola,

    Fico feliz de encontrar dicas ref ao Roundcube.
    Tenho instalado, e tive problemas por falta de espaço em disco,
    Mas não sei quais os arquivos ou dados posso apagar, sabemos que depois de um tempo ficam apenas ocupando espaço.

Deixe uma resposta

Campos requeridos estão marcados *.