Zitat von Roundcube
Irgendwie tut es mir ja Leid, mit meinen ersten Posts hier nur miese Stimmung zu verbreiten, aber ich hab gestaunt als ich die Versionsnummer von Roundcube beim Shared Hosting gesehen habe: Roundcube 1.2.3 wurde am 28. November 2016 veröffentlicht, ist also ganze vier Jahre alt. Das ist eine Ewigkeit in der Softwarewelt, insbesondere wenn es um öffentlich aufrufbare Software geht. Neben einigen kleinen und größeren Features, die deswegen fehlen, heißt das vor allem, dass die hier installierte Version mit Sicherheitslücken behaftet ist. Für den 1.2er-Strang gab es inzwischen 9 weitere Versionen bis auf das aktuelle 1.2.12, wirklich aktuell (sprich inklusive neuer Features) ist aber eigentlich Roundcube 1.4.9.
Nur mal so ein Auszug an Sicherheitsfixes, die ich die direkt bei Roundcube finden konnte:
1.2.4: Fix XSS issue in handling of a style tag inside of an svg element (CVE-2017-6820)
1.2.5: Password: Fix security issue in virtualmin and sasl drivers [CVE-2017-8114]
1.2.6: Fix potential XSS vulnerability with malformed HTML message markup
1.2.7: Fix file disclosure vulnerability caused by insufficient input validation (#6026)
1.2.8: Fix check_request() bypass in places using get_uids() [CVE-2018-9846] (#6238)
1.2.8: Fix possible IMAP command injection vulnerability [CVE-2018-9846] (#6229)
1.2.8: Fix security issue in remote content blocking on HTML image and style tags (#6178)
1.2.10: Security: Fix XSS issue in handling of CDATA in HTML messages
1.2.10: Security: Fix remote code execution via crafted 'im_convert_path' or 'im_identify_path' settings
1.2.10: Security: Fix local file inclusion (and code execution) via crafted 'plugins' option
1.2.10: Security: Fix CSRF bypass that could be used to log out an authenticated user (#7302)
1.2.11: It fixes a recently reported cross-site scripting (XSS) vulnerability via HTML messages with malicious svg/namespace (CVE-2020-15562).
1.2.12: It fixes two recently reported cross-site scripting (XSS) vulnerabilities via HTML messages with malicious svg and math contents.
Alles anzeigen
Bzw. die Liste an offiziellen CVE-Einträgen nach dem Release von 1.2.3:
pasted-from-clipboard.png
Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?