Ένα ευρέως χρησιμοποιούμενο πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου IMAP βασισμένο στον ιστό ανοιχτού κώδικα, το Roundcube Webmail, κυκλοφόρησε την έκδοση 1.6.14, παρέχοντας κρίσιμες ενημερώσεις κώδικα ασφαλείας για τη διόρθωση πολλών σοβαρών ευπαθειών στον κλάδο 1.6.x.
Η έκδοση επιλύει ένα περίπλοκο εύρος ζητημάτων ασφαλείας, που εκτείνονται από αυθαίρετους κινδύνους εγγραφής αρχείων πριν από τον έλεγχο ταυτότητας έως δέσμες ενεργειών μεταξύ τοποθεσιών (XSS) και παραποίηση αιτημάτων από την πλευρά του διακομιστή (SSRF).
Οι διαχειριστές του συστήματος καλούνται σθεναρά να εφαρμόσουν αυτήν την ενημέρωση για να προστατεύσουν την υποδομή επικοινωνίας τους από πιθανή εκμετάλλευση από παράγοντες απειλών.
Αντιμετωπίστηκαν κρίσιμα τρωτά σημεία
Η πιο σοβαρή ευπάθεια που επιδιορθώθηκε σε αυτήν την έκδοση περιλαμβάνει ένα ελάττωμα αυθαίρετης εγγραφής αρχείων πριν από τον έλεγχο ταυτότητας. Ανακαλύφθηκε από τον ερευνητή ασφαλείας y0us, αυτό το ζήτημα προέρχεται από την μη ασφαλή αποσειριοποίηση στους χειριστές περιόδου λειτουργίας Redis και Memcached.
Επειδή αυτό το ελάττωμα δεν απαιτεί έλεγχο ταυτότητας από έναν εισβολέα, ενέχει σημαντικό κίνδυνο για μη επαληθευμένη απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους διακομιστές ιστού.
Εάν γίνει εκμετάλλευση, οι εισβολείς θα μπορούσαν να αποκτήσουν τον πλήρη έλεγχο του περιβάλλοντος της εφαρμογής. Επιπλέον, η ενημέρωση διορθώνει ένα θέμα ευπάθειας SSRF και αποκάλυψης πληροφοριών.
Όπως αναφέρθηκε από τον Γεώργιο Τσιμπίδα, αυτό το ελάττωμα επέτρεψε στους εισβολείς να εκμεταλλευτούν συνδέσμους φύλλου στυλ για να αποκτήσουν πρόσβαση σε κεντρικούς υπολογιστές στο τοπικό δίκτυο.
Αυτή η ευπάθεια θα μπορούσε να επιτρέψει στους παράγοντες απειλής να χαρτογραφήσουν εσωτερικές αρχιτεκτονικές δικτύου ή να εξάγουν ευαίσθητα δεδομένα από κρυφές εσωτερικές υπηρεσίες που κανονικά θωρακίζονται από το δημόσιο Διαδίκτυο.
Η έκδοση 1.6.14 επιλύει επίσης ένα κρίσιμο λογικό σφάλμα στους μηχανισμούς διαχείρισης λογαριασμού. Ο ερευνητής ασφαλείας flydragon777 ανέφερε ένα πρόβλημα όπου οι εισβολείς μπορούσαν να αλλάξουν με επιτυχία έναν κωδικό πρόσβασης λογαριασμού χωρίς να δώσουν τον παλιό κωδικό πρόσβασης.
Αυτό υπονόμευσε σοβαρά την ασφάλεια του λογαριασμού και θα μπορούσε να οδηγήσει σε πλήρη εξαγορά λογαριασμού, εάν μια ενεργή περίοδος λειτουργίας παραβιαζόταν προσωρινά.
Επιπλέον, η Ομάδα Έρευνας Ασφαλείας Martila εντόπισε μια ευπάθεια παράκαμψης συνδυασμένης έγχυσης IMAP και πλαστογράφησης αιτημάτων διασταυρούμενης τοποθεσίας (CSRF) που βρίσκεται στη λειτουργία αναζήτησης αλληλογραφίας.
Αυτό το ελάττωμα θα μπορούσε να επιτρέψει σε κακόβουλους φορείς να χειριστούν εντολές διακομιστή αλληλογραφίας υποστήριξης και να εκτελούν μη εξουσιοδοτημένες ενέργειες εκ μέρους ενός επί του παρόντος πιστοποιημένου χρήστη.
Παρακάμψεις ασφαλείας από την πλευρά του πελάτη
Η ομάδα ανάπτυξης αντιμετώπισε αρκετές ευπάθειες από την πλευρά του πελάτη που θα μπορούσαν να επιτρέψουν την εκτέλεση ή την παρακολούθηση κακόβουλων ωφέλιμων φορτίων στο πρόγραμμα περιήγησης του θύματος.
Μια ευπάθεια XSS που υπήρχε στη δυνατότητα προεπισκόπησης συνημμένου HTML επιδιορθώθηκε με επιτυχία αφού αναφέρθηκε από το aikido_security. Διορθώθηκαν επίσης πολλές μέθοδοι που χρησιμοποιήθηκαν για την παράκαμψη του απομακρυσμένου αποκλεισμού εικόνων.
Ένας ερευνητής που είναι γνωστός ως nullcathedral ανέφερε παρακάμψεις που χρησιμοποιούν διάφορα χαρακτηριστικά κινούμενων σχεδίων SVG και δημιουργημένα χαρακτηριστικά φόντου σώματος.
Ο αποκλεισμός απομακρυσμένων εικόνων είναι μια ζωτικής σημασίας δυνατότητα απορρήτου που εμποδίζει τους αποστολείς email να χρησιμοποιούν pixel παρακολούθησης για να επιβεβαιώσουν εάν άνοιξε ένα email.
Ο ίδιος ερευνητής εντόπισε επίσης ένα ελάττωμα που επέτρεπε την παράκαμψη μετριασμού σταθερής θέσης μέσω κακής χρήσης του σημαντικού κανόνα CSS, ο οποίος έχει πλέον επιλυθεί πλήρως.
Πέρα από την εκτενή λίστα επιδιορθώσεων ασφαλείας, η έκδοση 1.6.14 περιλαμβάνει μια λειτουργική ενημέρωση κώδικα που επιλύει προβλήματα με συνδέσεις βάσης δεδομένων PostgreSQL που χρησιμοποιούν διευθύνσεις IPv6.
Η ομάδα ανάπτυξης του Roundcube θεωρεί αυτή την έκδοση εξαιρετικά σταθερή. Συνιστούν στους διαχειριστές να ενημερώνουν αμέσως όλες τις εγκαταστάσεις παραγωγής του Roundcube 1.6. x για να ασφαλίσουν το περιβάλλον τους.
Οι διαχειριστές συστήματος πρέπει να δημιουργήσουν αντίγραφα ασφαλείας όλων των δεδομένων της βάσης δεδομένων και των εφαρμογών πριν ξεκινήσουν τη διαδικασία αναβάθμισης για να αποτρέψουν την απροσδόκητη απώλεια δεδομένων.
Τα πακέτα ενημέρωσης, οι κρυπτογραφικές υπογραφές και ο πηγαίος κώδικας είναι προς το παρόν διαθέσιμα για λήψη στο επίσημο αποθετήριο Roundcube GitHub.
