В roundcube обнаружена уязвимость нулевого дня

image

Теги: уязвимость, zero-day

Удаленный пользователь может перезаписать любую переменную конфигурации и раскрыть содержимое произвольного файла.

Участник сообщества Хабрахабр опубликовал пост, в котором рассказал об уязвимости в популярном решении для web-почты roundcube.

Автор заметки отметил, что безопасность roundcube редко ставится под сомнение, но пользователи службы shared-hosting, разработкой которой он занимается, начали часто жаловаться на утечки учетных данных к FTP.

Расследование инцидентов безопасности позволило установить, что раскрытие данных происходило в результате эксплуатации почтовой системы, а именно ее web-части.Для того чтобы обнаружить уязвимость исследователи осуществили частичное протоколирование POST-запросов.

Оказалось, что злоумышленники присоединяли к электронным сообщениям сценарий config/db.inc.php и отправляли его себе. После этого они извлекали из полученного файла пароль roundcube, и через phpmyadmin, подключались к базе данных.

С подробным описанием уязвимости можно ознакомиться по адресу: http://www.securitylab.ru/vulnerability/438990.php


или введите имя

CAPTCHA
rogue
29-03-2013 14:54:39
чем дальше в лес тем волки сыты
0 |