1.1.4 より前のバージョンの Roundcube におけるリモートコード実行の脆弱性

Created:

2016-11-16 13:03:19 UTC

Modified:

2017-06-05 05:43:00 UTC

0

Was this article helpful?


Have more questions?

リクエストを送信

1.1.4 より前のバージョンの Roundcube におけるリモートコード実行の脆弱性

Applicable to:

  • Plesk 12.5 for Linux
  • Plesk 12.0 for Linux

症状

12 月 21 日に、リモートでコードが実行されるおそれがある重大なセキュリティ脆弱性が Roundcube バージョン 1.1.3 に発見されました。

これにより、顧客が roundcube_sysuser:roundcube_sysgroup に代わって PHP コードを実行することが可能です。

現在、脆弱性のある Roundcube バージョン 1.1.3 は Plesk for Linux の 12.0 と 12.5 でオプションインストールの対象になっています。また、以下の Plesk 11.5 バージョンにも同じ脆弱性があります。

Plesk 11.5.30 for CentOS 6 (with Roundcube 0.9.5) is vulnerable.
Plesk 11.5.30 for CentOS 5 (with Roundcube 0.8.6) is vulnerable.

解決策

Plesk 12.0 と 12.5 の場合、以下のマイクロアップデートでこの問題に対応できます(Roundcube がバージョン 1.1.4 に更新されました)。

Plesk 11.5.30(CentOS 6)、plesk-roundcube-0.9.5 の場合:

  • ファイル /usr/share/psa-roundcube/program/include/rcmail_output_html.php を、添付の rcmail_output_html.php に置き換えます。

    # ll /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    -rw-r--r-- 1 root root 63089 Dec 31 02:06 /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    

Plesk 11.5.30 CentOS 5、plesk-roundcube-0.8.6 の場合:

  • ファイル /usr/share/psa-roundcube/program/include/rcube_template.php を、添付の rcube_template.php に置き換えます。

    # ll /usr/share/psa-roundcube/program/include/rcube_template.php
    -rw-r--r-- 1 root root 50042 Dec 31 03:11 /usr/share/psa-roundcube/program/include/rcube_template.php
    

Attachments:

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。