Ejecución remota de código en Roundcube anterior a la versión 1.1.4

Created:

2016-11-16 13:03:19 UTC

Modified:

2017-05-15 19:43:28 UTC

0

Was this article helpful?


Have more questions?

Enviar una solicitud

Ejecución remota de código en Roundcube anterior a la versión 1.1.4

Síntomas

El 21 de diciembre se detectó una vulnerabilidad crítica de seguridad relacionada con la ejecución remota de código en Roundcube 1.1.3. Para más información al respecto, visite la siguiente página:

Customer can execute PHP code on behalf of roundcube_sysuser:roundcube_sysgroup

La versión afectada de Roundcube puede instalarse de forma opcional en Plesk para Linux 12.0 y 12.5. Las siguientes versiones de Plesk 11.5 también se ven afectadas:

Plesk 11.5.30 for CentOS 6 (with Roundcube 0.9.5) is vulnerable.
Plesk 11.5.30 for CentOS 5 (with Roundcube 0.8.6) is vulnerable.

Resolución

En el caso de Plesk 12.0 y 12.5, la incidencia se soluciona aplicando las siguientes microactualizaciones, donde Roundcube se actualizó a la versión 1.1.4:

En el caso de Plesk 11.5.30 CentOS 6, plesk-roundcube-0.9.5:

  • Reemplace el archivo /usr/share/psa-roundcube/program/include/rcmail_output_html.php por el archivo rcmail_output_html.php adjunto a este artículo.
    # ll /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    -rw-r--r-- 1 root root 63089 Dec 31 02:06 /usr/share/psa-roundcube/program/include/rcmail_output_html.php

En el caso de Plesk 11.5.30 CentOS 5, plesk-roundcube-0.8.6:

  • Reemplace el archivo /usr/share/psa-roundcube/program/include/rcube_template.php por el archivo rcube_template.php adjunto a este artículo.
    # ll /usr/share/psa-roundcube/program/include/rcube_template.php
    -rw-r--r-- 1 root root 50042 Dec 31 03:11 /usr/share/psa-roundcube/program/include/rcube_template.php

Attachments:

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.