Fedora 18:roundcubemail-0.8.5-1.fc18 (2013-2195)
medium Nessus Plugin ID 64677
語系:
概要
遠端 Fedora 主機遺漏安全性更新。說明
在 Round Cube Webmail (瀏覽器型多語言 IMAP 用戶端) 執行「data」和「vbscript」URL 清理的方式中,發現跨網站指令碼 (XSS) 瑕疵。遠端攻擊者可提供特製的 URL,一旦開啟該 URL,便會導致在 Round Cube Webmail 之使用者工作階段的環境中,執行任意 JavaScript、 VisualBasic 指令碼或 HTML 程式碼。上游票證:[1] http://trac.roundcube.net/ticket/1488850
更多詳細資料:[2] http://trac.roundcube.net/attachment/ticket/1488850/RoundCube2XSS.pdf
上游修補程式:[3] https://github.com/roundcube/roundcubemail/commit/74cd0a9b62f11bc07c5a1d3ba0098b54883eb0ba
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 roundcubemail 套件。另請參閱
http://www.nessus.org/u?cea87f57
http://trac.roundcube.net/attachment/ticket/1488850/RoundCube2XSS.pdf
https://github.com/roundcube/roundcubemail/issues/4033
https://www.openwall.com/lists/oss-security/2013/02/07/11
https://www.openwall.com/lists/oss-security/2013/02/08/1
Plugin 詳細資訊
嚴重性: Medium
ID: 64677
檔案名稱: fedora_2013-2195.nasl
版本: 1.14
類型: local
代理程式: unix
已發布: 2013/2/19
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 5.8
時間分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:roundcubemail, cpe:/o:fedoraproject:fedora:18
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/2/9
參考資訊
BID: 57849
FEDORA: 2013-2195