Szerverek tízezrei sebezhetők egy webmailes hiba miatt

Szerző: Biztonságportál | Utolsó módosítás: 2025.06.11.
​Több tízezer olyan szerver működik világszerte, amelyek sebezhető Roundcube alkalmazást futtatnak.
 

A Roundcube egy széles körben használt webmail rendszer. A Shadowserver statisztikái szerint az internet felől több mint 1,2 millió példány érhető el belőle. Egyebek mellett a kormányzati, az oktatási és a technológiai szektorokban is meglehetősen népszerű.
 
A hónap elején azonban a Roundcube kapcsán egy súlyos sebezhetőségre derült fény, amelyről ráadásul az is beigazodott, hogy több mint egy évtizede jelen van az alkalmazásban (az 1.1.0-ás verziótól kezdődően az 1.6.10-es kiadásig bezárólag).
 
A hibát Kirill Firsov biztonsági kutató fedezte fel, és jelezte azt a fejlesztőknek, akik hamar orvosolták a rendellenességet az 1.6.11, illetve az 1.5.10 verziók kiadásával. Így az ezekre való frissítéssel a sérülékenység megszüntethető.
 
A biztonsági hiba a _from paraméter nem megfelelő ellenőrzésére és szűrésére vezethető vissza a "program/actions/settings/upload.php" forrásfájl esetében. A kihasználásával jogosulatlan távoli kódfuttatásra nyílhat lehetőség. A biztonsági rés kockázatát némileg csökkenti, hogy előzetes hitelesítés nélkül nem használható ki.
 
A sérülékenység veszélyét azonban fokozza, hogy a kihasználásához szükséges exploit már megjelent az interneten. A Shadowserver adatai szerint az internet felől jelenleg több mint 84 ezer sebezhető kiszolgáló érhető el, vagyis nagyon sok szerverre nem került még fel a frissítés. Ez pedig jelentős méretű támadási felületet jelent a kibertámadók számára.
 
A biztonsági szakemberek a frissítések mielőbbi elvégzését javasolják.
További hírek
 
Riasztások
  1. 4
    Acrobat/Reader sebezhetőségek

    Elérhetővé váltak az Adobe PDF-kezelő alkalmazásainak legújabb verziói, amelyek több sebezhetőséget is orvosolnak.

  2. 4
    Adobe Commerce/Magento frissítések

    Öt biztonsági hiba javítását végezte el az Adobe a Commerce alkalmazások esetében.

  3. 4
    Adobe InDesign sérülékenységek

    Jelentős biztonsági frissítést kapott az Adobe InDesign.

  4. 3
    SAP frissítések

    Elérhetővé váltak az SAP júniusi biztonsági frissítései.

  5. 4
    Windows biztonsági rések

    A Microsoft kiadta a júniusi biztonsági frissítéseket a Windows-hoz.

  6. 4
    Office sérülékenységek

    Az Office szoftverekhez tizennégy biztonsági frissítés vált telepíthetővé.

  7. 4
    SharePoint Server sérülékenységek

    A SharePoint Serverhez három biztonsági frissítés érkezett.

  8. 4
    HPE OneView sérülékenységek

    A HPE OneView fontos biztonsági hibajavításokat kapott.

  9. 4
    Samsung Exynos sebezhetőségek

    A Samsung az Exynos kapcsán újabb 13 biztonsági rést foltozott be.

  10. 3
    Samsung Smart Switch sebezhetőség

    A Samsung egy biztonsági rést foltozott be a Smart Switch alkalmazáson.

 

G Data Internet Security 2 év 4 eszköz Új licenc
36000 Ft
ESET Mobile Security for Android 1 eszköz 2 év Új licenc
6990 Ft
ESET NOD32 Antivirus 1 eszköz 2 év Nyugdíjas kedvezmény hosszabbítás
10493 Ft
Partnerhírek
​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!