BDU:2024-06254
The RoundCube Team, Сообщество свободного программного обеспечения, Novell Inc., ООО «Ред Софт» RoundCube Webmail, openSUSE Tumbleweed, РЕД ОС, Debian GNU/Linux
2024-06-18
Уязвимость функции rcmail_action_mail_get->run() почтового клиента RoundCube Webmail существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS) путем отправки специально созданных вредоносных вложений
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Roundcube Webmail: https://github.com/roundcube/roundcubemail/releases https://github.com/roundcube/roundcubemail/releases/tag/1.5.8 https://github.com/roundcube/roundcubemail/releases/tag/1.6.8 https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-42008
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-42008.html
Компенсирующие меры: - использование средств антивирусной защиты с функционалом контроля электронной почты для отслеживания попыток эксплуатации уязвимости; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к программному продукту; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/