openSUSE 安全性更新:roundcubemail (openSUSE-2015-699)
medium Nessus Plugin ID 86734
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
roundcubemail 已更新至 1.0.7 版,修正了兩個安全性問題。已修正這些安全性問題:
- 拖放檔案上傳中的 XSS 問題
- 不允許對檔案系統中的檔案進行不需要的存取。
roundcubemail 的 apache2 組態檔允許存取 roundcubemail/bin 資料夾,可能也允許存取 /logs、/config 和 /temp (若其並非符號連結) (只有在手動變更組態時才會發生此情況) (bsc#952006)
套件隨附於已修正的組態。如果您修改過「/etc/apache2/conf.d/roundcubemail.conf」檔案,請將該檔案取代為「roundcubemail.conf.rpmnew」組態,並重新套用變更。
完成此步驟後,需要重新啟動 apache2。
解決方案
更新受影響的 roundcubemail 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 86734
檔案名稱: openSUSE-2015-699.nasl
版本: 2.3
類型: local
代理程式: unix
已發布: 2015/11/5
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
弱點資訊
CPE: p-cpe:/a:novell:opensuse:roundcubemail, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2015/10/27