openSUSE セキュリティ更新:roundcubemail(openSUSE-2015-699)
medium Nessus プラグイン ID 86734
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
roundcubemail が、バージョン 1.0.7 に更新され、2 つのセキュリティの問題を修正しました。これらのセキュリティの問題が修正されました:
- ドラッグ & ドロップによるファイルアップロードでの XSS 問題
- ファイルシステム上のファイルへの好ましくないアクセスを許可しません。
roundcubemail 用の apache2 構成ファイルのために、roundcubemail/bin フォルダへのアクセスが許され、シンボリックリンクでない場合は(これは構成が手動で変更された場合にのみです)、おそらく /logs、/config および /temp へのアクセスできます(bsc#952006)。
パッケージは修正済みの構成付きです。ファイル「/etc/apache2/conf.d/roundcubemail.conf」を修正した場合は、構成「'roundcubemail.conf.rpmnew」で置き換え、変更内容を再度適用してください。
その後に、apache2 を再起動する必要があります。
ソリューション
影響を受ける roundcubemail パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 86734
ファイル名: openSUSE-2015-699.nasl
バージョン: 2.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/11/5
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:roundcubemail, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2015/10/27