Falhas no Roundcube permitem que hackers roubem e-mails e senhas

[DELTA SERVERS]

Bom dia,

Pesquisadores de segurança cibernética divulgaram detalhes de falhas no software de webmail Roundcube, que podem ser exploradas para executar JavaScript malicioso no navegador da vítima e roubar informações confidenciais de sua conta em circunstâncias específicas.

A lista de vulnerabilidades é a seguinte:

CVE-2024-42008 - Uma falha de script entre sites por meio de um anexo de e-mail malicioso servido com um cabeçalho Content-Type perigoso.
CVE-2024-42009 - Uma falha de script entre sites que surge do pós-processamento de conteúdo HTML higienizado.
CVE-2024-42010 - Uma falha de divulgação de informações que decorre de filtragem CSS insuficiente.

 

Fonte: https://thehackernews.com/2024/08/roundcube-webmail-flaws-allow-hackers.html

Fonte: https://support.cpanel.net/hc/en-us/community/posts/25482460294423-Roundcube-Update-to-1-6-8-and-1-5-8?page=1

[DELTA SERVERS]

Bom dia,

Saiu uma atualização para tal, no entanto relataram direcionamento em excesso, ainda recomendamos aguardar.

 

https://docs.cpanel.net/changelogs/120-change-log/

 

120.0.16 [ 2024-08-15 ]

Caso corrigido HB-7822: Atualizar Roundcube para 1.6.8 para abordar CVE’s (CVE-2024-42008, CVE-2024-42009, CVE-2024-42010)

 

 

[DELTA SERVERS]

Prezados,

O cPanel lançou a atualização do Roundcube Webmail 1.6.8 na versão 120.0.16. 

Basta atualizarem para assegurar e garantir a segurança das informações de seus clientes. 

Segue abaixo as informações sobre a atualização:

 

Aplicamos em todos os nossos clientes.

Ela corrige vulnerabilidades de segurança recentemente reportadas e alguns bugs:

• Corrigida vulnerabilidade XSS no pós-processamento de conteúdo HTML sanitizado [CVE-2024-42009].
• Corrigida vulnerabilidade XSS ao servir anexos que não são HTML ou SVG [CVE-2024-42008].
• Corrigida fuga de informações (acesso a conteúdo remoto) devido a filtragem insuficiente de CSS [CVE-2024-42010].
• Managesieve: Protege scripts especiais no modo managesieve_kolab_master.
• Corrigido o foco da notificação de newmail_notifier no Chrome.
• Corrigido erro fatal ao analisar alguns anexos TNEF.
• Corrigido problema de barra de rolagem dupla ao compor um e-mail com muitas linhas de texto simples.
• Corrigido a decodificação de partes de e-mail com múltiplos blocos de texto codificados em base64.
• Corrigido bug onde algumas mensagens poderiam ficar malformadas em uma importação de um arquivo MBOX.
• Corrigido caracteres de quebra de linha inválidos em texto multilinha em scripts Sieve.
• Corrigido bug onde o filtro "com anexo" poderia falhar em alguns motores fts.
• Corrigido bug onde uma exceção não tratada era causada por um anexo de imagem inválido.
• Corrigido bug onde um título de assunto longo não poderia ser exibido em alguns casos.
• Corrigido loop infinito ao analisar script Sieve malformado.
• Corrigido bug onde a opção 'socket' do imap_conn_option era ignorada.

Esta versão é considerada estável, e recomendamos que todas as instalações produtivas do Roundcube 1.6.8 sejam atualizadas.

[Pablo Si]

tem como corrigir sem atualizar o cpanel?

[DELTA SERVERS]

Para atualizar o Roundcube para a versão mais recente no cPanel, você precisa atualizar o próprio cPanel, pois o Roundcube é integrado ao cPanel e sua versão é controlada pelo sistema de atualizações do cPanel. Não há uma maneira suportada de atualizar o Roundcube de forma independente sem atualizar o cPanel.

 

Se você deseja atualizar o Roundcube manualmente sem atualizar o cPanel, seria necessário fazer isso fora do sistema de gerenciamento do cPanel, o que não é recomendado e pode causar problemas de compatibilidade. Isso envolve baixar o Roundcube do site oficial e seguir um processo manual de instalação, mas isso pode quebrar a integração do Roundcube com o cPanel.

 

Para garantir a compatibilidade e o suporte contínuo, a maneira recomendada de atualizar o Roundcube é através da atualização do cPanel para a versão mais recente. Isso garantirá que todas as dependências e configurações estejam corretas.