Webmailer Roundcube: Kritische Lücken erlauben Dateimanipulation und mehr

Im Webmail-System Roundcube klafften mehrere, teils kritische Sicherheitslücken. Das Entwicklerteam hat sie behoben und nun den fünften und „hoffentlich letzten“ Kandidaten für die Version 1.7 veröffentlicht. Auch ältere Versionen erhalten Flicken für die Lücken.

Die vermutlich gefährlichste Sicherheitslücke klafft in der Sessionverwaltung mittels Redis/memcache – sie erlaubt Angreifern ohne vorherige Anmeldung, beliebige Dateien auf den Webserver zu schreiben. Ebenfalls unangenehm: Eine weitere Sicherheitslücke erlaubte in manchen Fällen, das Passwort eines Roundcube-Nutzers zu ändern, ohne dessen altes Passwort zu kennen. CVE-Kennungen gibt es bis jetzt für keine der Sicherheitslücken.

Des Weiteren behoben die Roundcube-Entwickler verschiedene Wege, die Inhaltsfilter, speziell die Blockierung von Bildern in der E-Mail-Anzeige, zu umgehen. Auch eine IMAP-Injection, Cross-Site Scripting und SSRF fanden und meldeten unabhängige Sicherheitsforscher.

Updates sind erschienen

Fehlerbereinigte Ausgaben für die drei aktuell gepflegten Roundcube-Versionen sind erschienen:

• Roundcube 1.7rc5,
• Roundcube 1.6.14 und
• Roundcube 1.5.14

Downloadlinks und einige knappe Informationen zu den einzelnen Sicherheitslücken finden sich auf der Versionsankündigung bei Github. Die Entwickler des Webmailers empfehlen dringend allen Admins, ihre Webmailer auf den neuesten Stand zu bringen. Exploits für Roundcube-Sicherheitslücken hatten erst Ende Februar für eine Warnung der US-Cybersicherheitsbehörde CISA gesorgt.

(cku)