Home

Software-update: Roundcube Webmail 1.6.16 / 1.7.1

Er zijn updates verschenen voor versies 1.6 en 1.7 van Roundcube Webmail die diverse beveiligensproblemen moeten verhelpen. Roundcube Webmail biedt een webinterface om e-mail te kunnen lezen en verzenden. Het heeft onder andere ondersteuning voor gedeelde mappen en namespaces, internationalized domain names en SMTP-afleverstatusnotificaties. Daarnaast is de gebruikersinterface voor IMAP-mappen aangepast om zo meer ruimte te bieden voor extensies en plug-ins. De changelog voor beide versies kan hieronder worden gevonden.

Security updates 1.6.16 and 1.7.1 released

We just published security updates to the 1.6 LTS and 1.7 versions of Roundcube Webmail. They both contain fixes for recently reported security vulnerabilities.

Security fixes
  • Fix stored XSS/HTML/CSS injection in subject field of the draft restore dialog
  • Fix CSS injection bypass in HTML sanitizer via SVG <animate attributeName="style">
  • Fix pre-auth SQL injection in virtuser_query plugin via preg_replace backslash escape bypass
  • Fix SSRF bypass via specific local address URLs
  • Fix local/private URL fetch bypass when remote resources were not allowed
  • Fix bypass of remote image blocking via CSS var()
  • Fix pre-auth arbitrary file delete via redis/memcache session poisoning bypass
  • Fix code injection vulnerability - remove support for code evaluation in LDAP autovalues option

    • See the full changelogs in the release notes on the Github download pages for the updated versions 1.6.16 and 1.7.1. We strongly recommend to update all productive installations of Roundcube 1.6.x and 1.7.x with this new versions.

    Source: Tweakers.net

    Previous

    Next