Neues aus der IT-Welt

Angreifer können an mehreren Sicherheitslücken in Roundcube Webmail ansetzen und im schlimmsten Fall E-Mails von Opfern einsehen oder sogar in deren Namen versenden. Eine Lücke ist als "kritisch" eingestuft. Abgesicherte Versionen stehen zum Download bereit.

Aus einer Warnmeldung des Anbieters geht hervor, daß die Entwickler insgesamt drei Schwachstellen (CVE-2024-42008 "hoch", CVE-2024-42009 "kritisch", CVE-2024-42010 "mittel") geschlossen haben. Weil Eingaben in message_body() einer E-Mail-Nachricht nicht ausreichend bereinigt werden, können entfernte Angreifer Attacken auf die kritische Schwachstelle über präparierte E-Mails einleiten.

Dafür muß ein Opfer eine manipulierte Nachricht öffnen und im Anschluß führt der Browser des Opfers JavaScript-Code von den Angreifern aus. Klappt solch ein XSS-Angriff, sollen Angreifer unter anderem Passwörter abgreifen können, um beispielsweise E-Mail-Nachrichten im Namen von Opfern zu versenden, berichten Sicherheitsforscher von Sonar.

Nutzen Angreifer die beiden anderen Lücken erfolgreich aus, kann es etwa zu einem Informationsleck kommen.

Roundcube Webmail kommt unter anderem bei Regierungen und Universitäten zum Einsatz. Im Regierungskontext kam es bereits Ende Oktober zu Attacken auf andere Lücken in Roundcube-Servern.

Dementsprechend sollten Admins zügig handeln und die abgesicherten Versionen 1.5.8 oder 1.6.8 installieren. Alle vorigen Versionen sollen angreifbar sein. Derzeit gibt es aber noch keine Berichte zu laufenden Attacken und Sicherheitsforscher halten sich bewußt mit Details zurück, damit Admins Zeit haben, die Sicherheitsupdates zu installieren.

Statement von WITS.AT:
Sofort nach Bekanntwerden dieser Sicherheitslücken haben wir auf unserem Server (auch wir setzen dort Roundcube ein) sofort das Update auf Version 1.6.8 eingespielt. Die Nutzer dieses Dienstes im Rahmen unseres Servers sollten daher - nach Maßgabe des Herstellers - auf der sicheren Seite sein!