18 de junio de 2020

Año 62 de la Revolución

Roundcube es una aplicación web avanzada para el acceso a correo electrónico en entorno web, lo que se conoce habitualmente como webmail. Básicamente, permite acceder a cuentas de correo vía IMAP, un protocolo de acceso al email que permite ver los mensajes sin descargarlos del servidor

Con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información transmitida por este software libre, se han publicado recientemente correcciones para mitigar vulnerabilidades de seguridad identificadas. Las publicaciones de servicio y seguridad están referidas a la versión estable 1.4 y las versiones anteriores 1.3 y 1.2 LTS.

Vulnerabilidades Corregidas

• Ataque CSRF con usuario autenticado.
• Cross-Site Scripting (XSS) empleando contenido HTML malicioso.
• Ejecución remota de código a través de opciones de configuración diseñadas.
• Vulnerabilidad de ruta transversal que permite la inclusión de archivos locales a través de la opción de "complementos".

Medidas de Seguridad a Implementar

• Chequear y/o eliminar el instalador del Roundcube dentro del directorio público de la aplicación;
• Realizar una correcta configuración de la aplicación y sus permisos;
• Actualizar todas las instalaciones productivas de Roundcube a la versión 1.4.5 disponible en:

                https://github.com/roundcube/roundcubemail/releases/tag/1.4.5

• Realizar escaneos periódicos del sitio web para la identificación de vulnerabilidades.

Atentamente,

Equipo de Respuesta a Incidentes de Seguridad Informática de BioCubaFarma

CSIRT-BCF