Debian DLA-537-1：roundcube 安全更新

medium Nessus 插件 ID 91904

语言：

简介

远程 Debian 主机缺少安全更新。

描述

适用于 IMAP 服务器的 webmail 解决方案 Roundcube 处理 SVG 图像时，容易遭受跨站脚本 (XSS) 漏洞影响。
若对附加图像的下载链接单击右键，即可在独立的选项卡中执行内嵌的 JavaScript。

此更新在电子邮件和 TABS 中禁用显示 SVG 图像。
仍可下载附件。此安全更新也缓解了通过其他方式对 SVG 图像利用此问题的影响。
(CVE-2016-4068)

对于 Debian 7“Wheezy”，这些问题已在 0.7.2-9+deb7u3 版本中修复。

建议您升级 roundcube 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2016/06/msg00038.html

https://packages.debian.org/source/wheezy/roundcube

插件详情

严重性: Medium

ID: 91904

文件名: debian_DLA-537.nasl

版本: 2.7

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2016/7/1

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:roundcube, p-cpe:/a:debian:debian_linux:roundcube-core, p-cpe:/a:debian:debian_linux:roundcube-mysql, p-cpe:/a:debian:debian_linux:roundcube-pgsql, p-cpe:/a:debian:debian_linux:roundcube-plugins, cpe:/o:debian:debian_linux:7.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2016/6/30

参考资料信息

CVE: CVE-2015-8864