BDU:2023-07143
The RoundCube Team, Сообщество свободного программного обеспечения, ООО «Ред Софт» RoundCube Webmail, РЕД ОС, Debian GNU/Linux
2023-10-16
Уязвимость библиотеки program/lib/Roundcube/rcube_washtml.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код с помощью специально созданного электронного письма
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование антивирусного программного обеспечения с функцией контроля электронной почты для обнаружения вложений, содержащих вредоносное программное обеспечение; - минимизация пользовательских привилегий при работе с уязвимым программным обеспечением; - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности обращений к уязвимому программному обеспечению.
Использование рекомендаций:
Для Roundcube: https://roundcube.net/news/2023/10/16/security-update-1.6.4-released https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15
Для Debian GNU/Linux: https://www.debian.org/security/2023/dsa-5531 https://security-tracker.debian.org/tracker/CVE-2023-5631
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/