Alerta de Seguridad No 7/20: Publicación de actualización de seguridad para cliente de correo Roundcube Webmail.
- 22/08/2020
- 210
18 de junio de 2020
Año 62 de la Revolución
Roundcube es una aplicación web avanzada para el acceso a correo electrónico en entorno web, lo que se conoce habitualmente como webmail. Básicamente, permite acceder a cuentas de correo vía IMAP, un protocolo de acceso al email que permite ver los mensajes sin descargarlos del servidor
Con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información transmitida por este software libre, se han publicado recientemente correcciones para mitigar vulnerabilidades de seguridad identificadas. Las publicaciones de servicio y seguridad están referidas a la versión estable 1.4 y las versiones anteriores 1.3 y 1.2 LTS.
Vulnerabilidades Corregidas
- Ataque CSRF con usuario autenticado.
- Cross-Site Scripting (XSS) empleando contenido HTML malicioso.
- Ejecución remota de código a través de opciones de configuración diseñadas.
- Vulnerabilidad de ruta transversal que permite la inclusión de archivos locales a través de la opción de "complementos".
Medidas de Seguridad a Implementar
- Chequear y/o eliminar el instalador del Roundcube dentro del directorio público de la aplicación;
- Realizar una correcta configuración de la aplicación y sus permisos;
- Actualizar todas las instalaciones productivas de Roundcube a la versión 1.4.5 disponible en:
https://github.com/roundcube/roundcubemail/releases/tag/1.4.5
- Realizar escaneos periódicos del sitio web para la identificación de vulnerabilidades.
Atentamente,
Equipo de Respuesta a Incidentes de Seguridad Informática de BioCubaFarma
CSIRT-BCF