Уязвимость BDU:2021-06259

Дата: 13.09.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2021-06259.

Наименование уязвимости: Уязвимость почтового клиента Roundcube, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный SQL-код.

Описание уязвимости: Уязвимость почтового клиента Roundcube связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код с помощью параметров search или search_params
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 10 | Операционная система Fedora Project Fedora 33 | Операционная система Fedora Project Fedora 34 | Операционная система Debian GNU/Linux 11 | Прикладное ПО информационных систем Thomas Brderli Roundcube до 1.3.17 | Прикладное ПО информационных систем Thomas Brderli Roundcube от 1.4.0 до 1.4.12 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 10 | Fedora 33 | Fedora 34 | Debian GNU/Linux 11 |
Дата выявления: 13.09.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для Roundcube:
https://github.com/roundcube/roundcubemail/commit/c8947ecb762d9e89c2091bda28d49002817263f1
https://github.com/roundcube/roundcubemail/commit/ee809bde2dcaa04857a919397808a7296681dcfa

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/12/msg00004.html
https://www.debian.org/security/2021/dsa-5013

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NDVGIZMQJ5IOM47Y3SAAJRN5VPANKTKO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TP3Y5RXTUUOUODNG7HFEKWYNIPIT2NL4/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-44026.

Тип ошибки CWE: CWE-89
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugs.debian.org/1000156
https://github.com/roundcube/roundcubemail/commit/ee809bde2dcaa04857a919397808a7296681dcfa
https://github.com/roundcube/roundcubemail/commit/c8947ecb762d9e89c2091bda28d49002817263f1
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NDVGIZMQJ5IOM47Y3SAAJRN5VPANKTKO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TP3Y5RXTUUOUODNG7HFEKWYNIPIT2NL4/
https://github.com/roundcube/roundcubemail/commit/7d7b1dfeff795390b69905ceb63d6391b5b0dfe7
https://github.com/roundcube/roundcubemail/issues/8193
https://github.com/roundcube/roundcubemail/commit/faf99bf8a2b7b7562206fa047e8de652861e624a
https://www.securitylab.ru/vulnerability/526935.php
https://nvd.nist.gov/vuln/detail/CVE-2021-44026

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.