Hallo, ich dachte, alle Kolleginnen und Kollegen, die eine roundcube Instanz von direkt von roundcube installiert haben (und nicht aus einem Betriebssystem Repository) haben auch den Roundcube Announcement email Verteiler abonniert. Da kam zeitnah am 27.12 auch die email für das erforderliche update. Bleibt die Frage, ob diese Liste auch dazu genutzt werden soll, zu informieren, wenn in einem Softwarepaket, was man selbst einsetzt, ein Sicherheitsloch entdeckt wurde, für das es auch einen Patch gibt. Viele Grüße Frank Knoben On 15.01.21 08:37, Jens Hektor wrote:

Hallo,

für den Fall, dass jemand an der Hochschule "roundcube" einsetzt, hier folgende Nachricht des DFN-CERT:

----------------------------

für die Webmail-Software Roundcube wurde zwischen den Jahren eine über E-Mails auszunutzende Cross-Site-Scripting (XSS)-Schwachstelle veröffentlicht.

Technische Informationen zur Schwachstelle erhalten Sie hier:

...

https://www.alexbirnberg.com/roundcube-xss.html Patches und weitere Hinweise zu betroffenen Versionen finden Sie beim Hersteller: https://roundcube.net/news/2020/12/27/security-updates-1.4.10-1.3.16-and-1.2... Wir haben heute die möglicherweise betroffenen Einrichtungen informiert, bei denen wir mit Hilfe der Suchmaschine censys.io Roundcube-Instanzen identifizieren konnten.

Falls Sie Roundcube einsetzen und heute nicht informiert wurden, möchten wir Sie ebenfalls bitten, Ihre Systeme zu prüfen und verfügbare Sicherheitsupdates einzuspielen.

----------------------------

Gruß, Jens Hektor _______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de