BDU:2024-06146
The RoundCube Team, ООО «Ред Софт» RoundCube Webmail, РЕД ОС
2024-08-05
Уязвимость функции message_body() файла program/actions/mail/show.php почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к электронной почте путём отправки специально сформированного сообщения
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств антивирусной защиты с функционалом контроля электронной почты для отслеживания попыток эксплуатации уязвимости; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: https://github.com/roundcube/roundcubemail/releases https://github.com/roundcube/roundcubemail/releases/tag/1.5.8 https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/