Il mio blog-spazio.

RoundCube 1.2.0 - 1.3.5 : vulnerabilità

Non sono giorni simpatici per i sysadmin,
dopo VestaCP, oggi è spuntata una vulnerabilità dello stesso genere anche per RoundCube.
Il bollettino: "CVE-2018-9846";

Vediamo come aggiornare.

Roundcube è un client di posta elettronica molto considerato,
utilizzato da tantissime istituzioni / università ed è la scelta predefinita di molti provider di hosting.

Le versioni di Roundcube,
dalla 1.2.0 alla 1.3.5 con il plugin "archive" abilitato e configurato,
soffrono di una vulnerabilità di mx injection.

Inviando una richiesta appositamente predisposta,
Roundcube, potrebbe consentire ad un malintenzionato, da remoto,
di eseguire comandi arbitrari sul sistema.

Il fix su Git
https://github.com/roundcube/roundcubemail/commit/8e543f843eb7744f6fca31ce489d03dfd8a4a793


Capiamo subito che vi era un problema di "$ _POST".

Questo l'annuncio ufficiale di RoundCube:
https://roundcube.net/news/2018/04/11/security-update-1.3.6


Come si aggiorna?
Io su Debian ho fatto semplicemente così:
Mi sono backuppato il setting attuale di roundcube,
che nel mio caso si trova qui:

/var/lib/roundcube/config/defaults.inc.php


Prelevato l'update 1.3.6 fixato,

wget https://github.com/roundcube/roundcubemail/releases/download/1.3.6/roundcube-framework-1.3.6.tar.gz


Scompattato

tar xfvz /roundcubemail-1.3.6.tar.gz


entro nella cartella dell'archivio scompattato e faccio partire il setup
(controllate dove lo avete installato, nel mio caso /var/lib/roundcube)

cd /roundcubemail-1.3.6/
sudo ./bin/installto.sh /var/lib/roundcube


Una volta completato il setup, vado a vedere nella directory ed aggiorno le dipendenze con composer:

cd /var/lib/roundcube
php composer.phar update --no-dev



ora controllo il setting di roundcube, vi ricordate che avevamo backuppato la copia, sopra?

/var/lib/roundcube/config/defaults.inc.php


io ho bisogno di cambiare le impostazioni SMTP, nel mio caso:

$ config ['smtp_port'] = 587;
$ config ['smtp_user'] = '% u';
$ config ['smtp_pass'] = '% p';


Ho avuto un leggero problema dopo l'update: la connessione al DB SQL.
Dopo qualche minuto, ho notato che il problema è stato causato dalla password DB reimpostata.

In bocca al lupo!