FEHLER!

Roundcube 1.7rc5: Ein Sicherheitsupdate, das Angreifern den Wind aus den Segeln nimmt

Das Entwicklerteam von Roundcube hat mit der Veröffentlichung von Version 1.7rc5 einen weiteren wichtigen Schritt in Richtung verbesserte Sicherheit gesetzt. Dieses Release fokussiert sich auf die Behebung kritischer Sicherheitslücken, die zuvor in verschiedenen Aspekten des Systems entdeckt wurden. Insbesondere wurde eine bedrohliche Schwachstelle in der Sessionverwaltung über Redis/memcache geschlossen. Diese Lücke hätte es Angreifern ohne vorherige Authentifizierung erlaubt, beliebige Dateien auf dem Webserver zu manipulieren und damit sensible Daten zu kompromittieren oder schädlichen Code einzuschleusen. Parallel dazu wurde eine weitere Schwachstelle adressiert, die in manchen Fällen das Ändern des Passworts eines Nutzers ohne Kenntnis des vorherigen Passworts ermöglichte. Diese Lücken bergen immense Risiken für die Datenintegrität und den Bereich der Kontosicherheit. Obwohl noch keine offiziellen CVE-Kennungen für diese spezifischen Schwachstellen existieren, unterstreichen die Entwickler die Seriosität der gefundenen Fehler und betonen ihre zügige Behebung. Neben diesen kritischen Sicherheitslücken wurden auch diverse Angriffsvektoren zur Umgehung des Inhaltsfilters, insbesondere im Kontext der Blockierung von Bildern in E-Mail-Anzeigen, geschlossen. Weitere Sicherheitsforscher identifizierten zusätzlich Schwachstellen wie IMAP-Injection, Cross-Site Scripting und Server-Side Request Forgery (SSRF), die ebenfalls durch das Update adressiert wurden. Umfassende Fehlerbehebungen wurden für die drei aktuell gepflegten Roundcube-Versionen bereitgestellt: 1.7rc5, 1.6.14 und 1.5.14. Auf der GitHub-Versionsankündigung sind detaillierte Informationen zu den jeweiligen Sicherheitslücken sowie Downloadlinks verfügbar. Angesichts der Schwere der gefundenen Schwachstellen, die bereits im Februar durch Warnungen der US-Cybersicherheitsbehörde CISA öffentlich wurden, ist es für alle Administratoren von größter Bedeutung, ihre Roundcube-Instanzen umgehend auf den neuesten Stand zu aktualisieren und das Sicherheitsrisiko durch diese Patches zu minimieren.

Schlagwörter: Roundcube + Scripting + Server-Side

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 19. März 2026