広く展開されているオープンソースのWebメールインターフェースであるRoundcube Webmailが、複数の重大な脆弱性に対処するための緊急セキュリティアップデートをリリースしました。
新しい安定版リリースであるバージョン1.6.14は、独立したセキュリティ研究者によって報告された8つの異なるセキュリティフローを修正します。
Webmailサーバーは非常に機密性の高い企業および個人通信を処理するため、脅威行為者の一番の標的のままです。
Roundcube 1.6.xブランチを実行しているシステム管理者は、潜在的な侵害とデータ露出からインフラストラクチャを保護するためにこのアップデートを直ちに適用する必要があります。
対処された重大な脆弱性
このアップデートは、攻撃者がユーザーアカウントを操作し、不正な操作を実行したり、機密情報を抽出したりする可能性がある複数の高度な重大度の問題を解決します。
このリリースで修正された主要な脆弱性は以下の通りです:
- 認証前の任意ファイル書き込み: RedisおよびMemcacheセッションハンドラーの安全でないデシリアライゼーションフローにより、認証されていない任意のファイル書き込みが可能になります。研究者y0usによって報告されました。
- 認証バイパス: ロジックバグにより、ユーザーが古いパスワードを入力する必要なくアカウントパスワードを変更できました。flydragon777によって発見されました。
- IMAPインジェクションとCSRF: メール検索機能内のIMAPインジェクションと組み合わされたクロスサイトリクエストフォージェリーバイパス。Martila Security Research Teamによって報告されました。
- サーバー側リクエストフォージェリー(SSRF): ローカルネットワークホストを指すスタイルシートリンク経由でトリガーされたSSRFおよび情報開示の脆弱性。Georgios Tsimpidas (Frey)によって報告されました。
- クロスサイトスクリプティング(XSS): HTML添付ファイルのプレビュー経由でトリガーされた悪意のあるスクリプト実行。aikido_securityによって識別されました。
このリリースで対処された最も重大な脆弱性は、認証前の任意ファイル書き込みフローです。
この問題はセッションハンドラーの安全でないデシリアライゼーションに起因しています。事前の認証を必要としないため、リモート攻撃者はこれを悪用してサーバーインフラストラクチャに直接悪意のあるファイルを書き込む可能性があります。このベクトルはしばしば完全なシステム侵害につながります。
パッチされた脆弱性の3つは、特にRoundcubeのメールプライバシー保護を対象としていました。
Webmailクライアントは通常、メール送信者がトラッキングピクセルを使用してメールがいつ開かれたかを監視するのを防ぐため、デフォルトでリモート画像をブロックします。ただし、セキュリティ研究者は複数のこれらの保護をバイパスする方法を発見しました。
攻撃者は、特定のSVGアニメーション属性と悪意のあるボディ背景タグを利用することで、リモート画像ブロック機構を正常に回避しました。どちらも研究者nullcathedralによって報告されました。
さらに、開発者は固定要素ポジショニングを操作するためのCSSの重要なルールに依存していた緩和バイパスを修正しました。
これらのUIバイパスを解決することで、Roundcubeは隠されたトラッキング機構と悪意のあるリモートアセットが、ユーザーが明示的に許可するまで効果的にブロックされたままであることを保証します。
デプロイメントと緩和手順
Roundcube開発チームはバージョン1.6.14を安定したセキュリティリリースと見なし、直ちに採用を促しています。
セキュリティパッチに加えて、このアップデートはIPv6アドレスを利用するPostgreSQLデータベース接続に影響する機能バグも解決します。
管理者はRoundcube 1.6.xのすべてのアクティブな本番インスタンスを更新する必要があります。アップデートプロセスを進める前に、すべてのWebメールデータ、構成ファイル、および基盤となるデータベースの包括的なバックアップを実行することを強くお勧めします。
公式GitHubリポジトリからアップデートをダウンロードするシステム管理者は、サプライチェーンセキュリティを確保するために、提供されたSHA256チェックサムを使用してインストールパッケージの整合性を確認する必要があります。
翻訳元: https://gbhackers.com/roundcube-releases-urgent-security-update/
