openSUSE 16 セキュリティ更新roundcubemailopenSUSE-SU-2026:20586-1

high Nessus プラグイン ID 309156

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

リモートのopenSUSE 16ホストには、openSUSE-SU-2026:20586-1アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

roundcubemail の変更

- への更新 1.6.15 これは、Roundcube Webmail の安定版stableバージョン 1.6 へのセキュリティ更新です。
これは、以前のリリースで導入されたいくつかの回帰と最近報告されたセキュリティの脆弱性の修正を提供します

SVG Animate FUNCIRI 属性は、fill/filter/stroke を介してリモート画像ロードをバイパスします。class_nzm により報告されます。

このバージョンは安定版stableと見なされ、Roundcube 1.6.x の全ての生産インストールをこのバージョンで更新することを推奨します。更新する前に、データのバックアップを行ってください！

- メール検索が非 ASCII 検索条件で失敗する回帰を修正します#10121
- 一部のデータ URL イメージが無視/失われる可能性がある回帰を修正します#10128
- フィル/フィルター/ストロークを介して SVG Animate FUNCIRI 属性がリモート画像読み込みをバイパスするのを修正しますbsc#1261157

- への更新 1.6.14 これは、Roundcube Webmail の安定版stableバージョン 1.6 へのセキュリティ更新です。
- IPv6 アドレスを使用する Postgres 接続を修正#10104
- セキュリティredis/memcache セッションハンドラーでの安全でない逆シリアル化を介した pre-auth の任意のファイル書き込みを修正しますbsc#1261488、 CVE-2026-35537]
- セキュリティ古いパスワードを提供せずにパスワードが変更される可能性があるバグを修正します
- セキュリティメール検索の IMAP インジェクション + CSRF バイパスを修正します
- セキュリティさまざまな SVG アニメーション属性を介したリモート画像ブロックのバイパスを修正します
- セキュリティ細工された本文バックグラウンド属性を介した、リモート画像ブロックバイパスを修正します
- セキュリティ!important の使用による固定位置緩和バイパスを修正します
- セキュリティHTML 添付ファイルプレビューの XSS 問題を修正
- セキュリティSSRF の修正 + ローカルネットワークホストへのスタイルシートリンクを介した情報漏洩を修正

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける roundcubemail パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1261157

https://bugzilla.suse.com/1261488

https://www.suse.com/security/cve/CVE-2026-35537

プラグインの詳細

深刻度: High

ID: 309156

ファイル名: openSUSE-2026-20586-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2026/4/22

更新日: 2026/4/22

サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus