In der populären PHP-Webmailsoftware Roundcube wurde eine kritische Sicherheitslücke ausgemacht. Mittels einer E-Mail können Angreifer beliebigen Code auf dem Rechner ausführen, auf dem Roundcube installiert wurde. Entdeckt wurde die Schwachstelle von den Entwicklern des Schwachstellen-Finders RIPS.

Webshell

Heise.de beschreibt die Lücke wie folgt: "Roundcube übergibt ungefiltert Nutzereingaben an die PHP-Funktion mail(). Diese Funktion spricht das Programm sendmail an. Ein Angreifer kann sendmail durch die Lücke anweisen, Mail-Traffic an einen beliebigen Ort zu dumpen – auch in das über den Webserver öffentlich zugängliche www-Verzeichnis. Diese Anweisung erteilt der Angreifer über das Absenderfeld einer Mail. Den auszuführenden Code schleust er über die Betreffzeile ein, die im Dump innerhalb des www-Ordners landet. Auf diese Weise lässt sich zum Beispiel eine Webshell platzieren, die beliebige Systembefehle ausführt."

Updaten

Admins, die Roundcube installiert haben, wird geraten ihr System rasch auf Version 1.2.3 zu aktualisieren. Auch wenn die Lücke nur in vorhanden ist, wenn die mail()-Funktion genutzt wird und diese sendmail nutzt. Zudem muss der safe_mode von PHP deaktivierrt sein. (red, 9.12. 2016)