roundcube – Open Source Webmail – Security Update 1.3.3 und 1.2.7 und 1.1.10

Der beliebte Open-Source Webmail, roundcube, hat ein Sicherheitsproblem das breits aktiv ausgenutzt wird. Dieser Zero-Day-Exploit benötigt einen gültigen Benutzer mit Passwort, da er nur in einer gültigen Session funktioniert. Wird er angewandt, kann die Konfiguration von Roundcube ausgelesen werden.

Quelle: https://roundcube.net/news/2017/11/08/security-updates-1.3.3-1.2.7-and-1.1.10

ruondcube 1.3.3 Release Notes

  • Fix decoding of mailto: links with + character in HTML messages (#6020)
  • Fix false reporting of failed upgrade in installto.sh (#6019)
  • Fix file disclosure vulnerability caused by insufficient input validation (#6026)
  • Fix mangled non-ASCII characters in links in HTML messages (#6028)

ruondcube 1.2.7 Release Notes

  • Fix rewind(): stream does not support seeking (#5950)
  • Fix bug where HTML messages could have been rendered empty on some systems (#5957)
  • Fix (again) bug where image data URIs in css style were treated as evil/remote in mail preview (#5580)
  • Managesieve: Fix parsing dot-staffed lines in multiline text (#5838, #5959)
  • Fix file disclosure vulnerability caused by insufficient input validation (#6026)

ruondcube 1.1.10 und 1.0.12 Release Notes

Fix file disclosure vulnerability caused by insufficient input validation (#6026)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.