Mit einer geschickt präparierten E-Mail lässt sich ein Bug in Roundmail dazu missbrauchen, eigene Befehle auszuführen.
Die Entwickler des PHP-Security-Scanners RIPShaben im Webmailer Roundcube eine Sicherheitslücke ausfindig gemacht , die Angreifer dazu verwenden können, um eigenen Code auszuführen. Betroffen sind Roundcube-Versionen bis 1.2.2; in Version 1.2.3 wurde der Fehler behoben.
Damit ein Angriff erfolgreich ist, müssen einige Voraussetzungen erfüllt sein: Roundcube muss die mail()-Funktion von PHP verwenden, die wiederum auf sendmail zurückgreifen muss. Darüber hinaus muss der safe_mode von PHP deaktiviert sein und der Angreifer muss den absoluten Pfad zum Webserver-Root erraten. Sind diese Vorausetzungen erfüllt, lassen sich mit einer entsprechenden präparierten E-Mail eigene Befehle auf dem Server ausführen.
Die neueste Version 1.2.3 steht auf der Roundcube-Homepage zum Download bereit. Auch von der LTS-Version gibt es ein aktualisiertes Paket 1.1.7.