Portál AbcLinuxu, 26. dubna 2024 13:45


Bezpečnostní problém v Roundcube

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

9.12.2016 01:02 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

9.12.2016 13:03 pepazdepa
Rozbalit Rozbalit vše Re: Bezpečnostní problém v Roundcube
Odpovědět | Sbalit | Link | Blokovat | Admin
no nejsou od toho prave misto sendmail binarky pouzivany femail nebo mini_sendmail? neni od toho chroot a neni zapisovatelny filesystem php interpretem namoutovany jako noexec?

tedy:

- femail nema -x

- chroot ma omezeny pocet binarek

- noexec znamena, ze si tam nemuze uplne jednoduse script kiddie poslat binarku a spustit

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.