Удаленное выполнение кода в Roundcube на версиях ниже 1.1.4

Создана:

2016-11-16 13:03:19 UTC

Изменена:

2017-08-16 16:16:14 UTC

0

Помогла ли вам статья?


Есть вопросы?

Отправить запрос

Удаленное выполнение кода в Roundcube на версиях ниже 1.1.4

Applicable to:

  • Plesk 12.5 for Linux
  • Plesk 12.0 for Linux

Симптомы

21 декабря в Roundcube версии 1.1.3 была обнаружена серьезная уязвимость безопасности, позволяющая выполнить удаленный код:

Клиент может выполнить код PHP от имени roundcube_sysuser:roundcube_sysgroup

Уязвимая версия Roundcube 1.1.3 в настоящее время доступна для выборочной установки в Plesk для Linux 12.0 и 12.5. Проблема также затрагивает следующие версии Plesk 11.5:

Версия Plesk 11.5.30 для CentOS 6 (с Roundcube 0.9.5) является уязвимой.
Версия Plesk 11.5.30 для CentOS 5 (с Roundcube 0.8.6) является уязвимой.

Решение

Для Plesk 12.0 и 12.5 проблема решена в микрообновлении (Roundcube обновлен до версии 1.1.4):

Для Plesk 11.5.30 CentOS 6, plesk-roundcube-0.9.5:

  • Замените файл /usr/share/psa-roundcube/program/include/rcmail_output_html.php на прикрепленный к этой статье файл rcmail_output_html.php .
    # ll /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    -rw-r--r-- 1 root root 63089 Dec 31 02:06 /usr/share/psa-roundcube/program/include/rcmail_output_html.php

Для Plesk 11.5.30 CentOS 5, plesk-roundcube-0.8.6:

  • Замените файл /usr/share/psa-roundcube/program/include/rcube_template.php на прикрепленный к этой статье файл rcube_template.php .
    # ll /usr/share/psa-roundcube/program/include/rcube_template.php
    -rw-r--r-- 1 root root 50042 Dec 31 03:11 /usr/share/psa-roundcube/program/include/rcube_template.php

Вложения:

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос
Войдите в службу, чтобы оставить комментарий.