Roundcube Webmail: Angreifer können durch kritische Lücke E-Mails kapern
Admins sollten Roundcube aus Sicherheitsgründen auf den aktuellen Stand bringen. Viele Universitäten setzen auf dieses Webmailprodukt.
(Bild: Alfa Photo/Shutterstock.com)
Angreifer können an mehreren Sicherheitslücken in Roundcube Webmail ansetzen und im schlimmsten Fall E-Mails von Opfern einsehen oder sogar in deren Namen versenden. Eine Lücke ist als "kritisch" eingestuft. Abgesicherte Versionen stehen zum Download bereit.
Sicherheitsprobleme
Aus einer Warnmeldung des Anbieters geht hervor, dass die Entwickler insgesamt drei Schwachstellen (CVE-2024-42008 "hoch", CVE-2024-42009 "kritisch", CVE-2024-42010 "mittel") geschlossen haben. Weil Eingaben in message_body() einer E-Mail-Nachricht nicht ausreichend bereinigt werden, können entfernte Angreifer Attacken auf die kritische Schwachstelle über präparierte E-Mails einleiten.
Dafür muss ein Opfer eine manipulierte Nachricht öffnen und im Anschluss führt der Browser des Opfers JavaScript-Code von Angreifern aus. Klappt solch ein XSS-Angriff, sollen Angreifer unter anderem Passwörter abgreifen können, um beispielsweise E-Mail-Nachrichten im Namen von Opfern zu versenden, berichten Sicherheitsforscher von Sonar.
Nutzen Angreifer die beiden anderen Lücken erfolgreich aus, kann es etwa zu einem Informationsleck kommen.
Jetzt patchen!
Roundcube Webmail kommt unter anderem bei Regierungen und Universitäten zum Einsatz. Im Regierungskontext kam es bereits Ende Oktober zu Attacken auf andere Lücken in Roundcube-Servern.
Dementsprechend sollten Admins zügig handeln und die abgesicherten Versionen 1.5.8 oder 1.6.8 installieren. Alle vorigen Versionen sollen angreifbar sein. Derzeit gibt es aber noch keine Berichte zu laufenden Attacken und Sicherheitsforscher halten sich bewusst mit Details zurück, damit Admins Zeit haben, die Sicherheitsupdates zu installieren.
(des)
