概要

オープンソースのウェブメールインターフェースとして広く使用されている Roundcube Webmail が、独立系セキュリティ研究者によって報告された複数の深刻な脆弱性に対処するため、緊急のセキュリティ更新版をリリースしました。新バージョン 1.6.14 は、8つの異なるセキュリティ問題を修正しています。

重大な脆弱性

このアップデートでは、ユーザー アカウントの操作や非承認アクションの実行、機密情報の抽出などを行う可能性のある高リスクの問題が解決されています。主に修正された重要な脆弱性は以下の通りです：

• 予約済みなしで任意のファイル書き込み: Redis および Memcache セッションハンドラーにおける不適切なデシリアライゼーションにより、未認証での任意のファイル書き込みが可能となる脆弱性。
• 認証バイパス: アカウントのパスワードを変更する際に旧パスワードの提供を必要としない論理的なバグ。
• IMAP インジェクションおよび CSRF: メール検索機能内で IMAP インジェクションと Cross-Site Request Forgery (CSRF) のバイパスが組み合わさった脆弱性。
• サーバー側リクエストフォージェリー (SSRF): スタイルシートリンクをローカルネットワークホストに指向することでトリガーされる SSRF および情報漏洩の脆弱性。
• Cross-Site Scripting (XSS): HTML アタッチメントプレビューを通じて悪意のあるスクリプト実行が可能となる脆弱性。

これらの問題の中で最も深刻なのは、予約済みなしで任意のファイル書き込みを許す脆弱性です。この問題はセッションハンドラーにおける不適切なデシリアライゼーションから生じており、リモート攻撃者がサーバーインフラストラクチャに悪意のあるファイルを直接書き込む可能性があります。

対策と展開手順

Roundcube 開発チームはバージョン 1.6.14 を安定したセキュリティ更新版として位置づけ、即時導入を強く推奨しています。このアップデートでは PostgreSQL データベース接続に影響を与える機能的な問題も修正されています。

システム管理者は Roundcube 1.6.x のすべてのアクティブな生産環境インストールに対して更新を行う必要があります。更新プロセスを開始する前に、ウェブメールデータ、設定ファイル、および基本となるデータベースの完全バックアップを実施することをお勧めします。

公式 GitHub リポジトリからダウンロードした更新パッケージは、提供された SHA256 サムネイルを使用してインストールパッケージの整合性を確認することで供給チェーンセキュリティを確保できます。

元記事: https://gbhackers.com/roundcube-releases-urgent-security-update/