Debian dsa-6196 : roundcube - セキュリティ更新
high Nessus プラグイン ID 305020
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートの Debian 13 ホストには、dsa-6196 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。- -------------------------------------------------- -------------------------- Debian セキュリティアドバイザリ DSA-6196-1 [email protected] https://www.debian.org/security/Salvatore Bonaccorso 2026 年 4 月 4 日 https://www.debian.org/security/faq
- -------------------------------------------------------------------------
パッケージroundcube CVE ID CVE-2026-35537 CVE-2026-35538 CVE-2026-35539 CVE-2026-35540 CVE-2026-35541 CVE-2026-35542 CVE-2026-35543 CVE-2026-35544 CVE-2026-35545 Debian バグ1131182 1132268
IMAP サーバー用のスキン可能な AJAX ベースの Web メールソリューションである roundcube で複数の脆弱性が見つかりました。これにより、情報漏洩、IMAP インジェクション、CSRF バイパス、リモート画像ブロックのバイパス、クロスサイトスクリプティング、アクセス制御のバイパス、権限昇格が引き起こされる可能性があります。
旧安定版oldstableディストリビューションbookword では、これらの問題はバージョン 1.6.5+dfsg-1+deb12u8 で修正されています。
安定版stableディストリビューションtrixieでは、これらの問題はバージョン 1.6.15+dfsg-0+deb13u1 で修正されています。
お使いの roundcube パッケージをアップグレードすることを推奨します。
roundcube の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
https://security-tracker.debian.org/tracker/roundcube
Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/
メーリングリスト: [email protected]
前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
roundcube パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/roundcube
https://security-tracker.debian.org/tracker/CVE-2026-35537
https://security-tracker.debian.org/tracker/CVE-2026-35538
https://security-tracker.debian.org/tracker/CVE-2026-35539
https://security-tracker.debian.org/tracker/CVE-2026-35540
https://security-tracker.debian.org/tracker/CVE-2026-35541
https://security-tracker.debian.org/tracker/CVE-2026-35542
https://security-tracker.debian.org/tracker/CVE-2026-35543
https://security-tracker.debian.org/tracker/CVE-2026-35544
プラグインの詳細
深刻度: High
ID: 305020
ファイル名: debian_DSA-6196.nasl
バージョン: 1.3
タイプ: Local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2026/4/5
更新日: 2026/4/8
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:N
CVSS スコアのソース: CVE-2026-35545
CVSS v3
リスクファクター: High
基本値: 8.2
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:roundcube-core, p-cpe:/a:debian:debian_linux:roundcube, p-cpe:/a:debian:debian_linux:roundcube-mysql, p-cpe:/a:debian:debian_linux:roundcube-plugins, p-cpe:/a:debian:debian_linux:roundcube-pgsql, p-cpe:/a:debian:debian_linux:roundcube-sqlite3, cpe:/o:debian:debian_linux:13.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/4/4
脆弱性公開日: 2026/4/3
参照情報
CVE: CVE-2026-35537, CVE-2026-35538, CVE-2026-35539, CVE-2026-35540, CVE-2026-35541, CVE-2026-35542, CVE-2026-35543, CVE-2026-35544, CVE-2026-35545