Software-update - Roundcube Webmail 1.6.17 / 1.7.2
In dit artikel:
Roundcube Webmail heeft beveiligingsupdates uitgebracht voor versies 1.6.17 en 1.7.2 om meerdere kwetsbaarheden te dichten in de populaire webmailsoftware, die wordt gebruikt om e-mail via een browser te lezen en te versturen. De patches zijn bedoeld voor beheerders van productieomgevingen en worden nadrukkelijk aangeraden direct te installeren.
De belangrijkste fouten zitten in verschillende onderdelen van het programma. Zo is een eindeloze lus in de TNEF-decoder, bekend van Outlook-bijlagen zoals winmail.dat, opgelost. Ook zijn lekken verholpen in de wachtwoordplug-in, waar een sessie-injectie kon worden misbruikt, en in de verwerking van bijlagen en platte-tekstweergave, die konden leiden tot opgeslagen of zelfs “zero-click” XSS-aanvallen. Daarnaast zijn er twee nieuwe manieren aangepakt om server-side request forgery te omzeilen via lokale adressen, en is een mogelijke denial-of-service door een speciaal gemanipuleerd gecomprimeerd RTF-bestand verholpen.
Volgens de release-informatie zijn de updates bedoeld om recent gemelde beveiligingsproblemen snel af te sluiten. Veel beheerders die Roundcube gebruiken in zakelijke of institutionele omgevingen zullen deze versies daarom moeten uitrollen om risico’s op misbruik te verkleinen.
De Oranjezomer: Guido den Aantrekker over Frans Timmermans als Minister van Staat: 'Wat heeft hij gepresteerd?!'