Хакеры могут использовать уязвимость в Roundcube, просто отправив email
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Олег Иванов 08 Декабря 2016 - 10:29
...
Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо.

Недостаток был обнаружен фирмой RIPS Technologies и связан с функцией PHP mail(), которая используется для отправки электронной почты. При вызове этой функции PHP выполняет программу командной строки sendmail.

Проблема заключается в том, что пользовательский ввод не обрабатывается должным образом в пятом параметре функции mail(). Это позволяет злоумышленнику передавать произвольные аргументы. Об этой уязвимости было известно уже более двух лет, однако разработчики Roundcube упустили ее из вида.

По словам RIPS, злоумышленник может создать вредоносный PHP-файл в корневом каталоге веб-системы, выполнив Sendmail с опцией -X, которая используется для логирования всего почтового трафик в специальном файле. Такой PHP-файл может позволить хакеру выполнять команды и проводить различные махинации, например, чтение электронной почты или получение доступа к другим системам в сети.

RIPS объясняют, что брешь может быть использована злоумышленником, который имеет доступ к целевой системе и может посылать электронную почту со скомпрометированной машины. После получения доступа, злоумышленник может использовать брешь, введя специальный код в поле «От».

Есть несколько условий, которые должны быть соблюдены для того, чтобы уязвимость сработала. Во-первых, Roundcube должен быть настроен на использование функции mail(), во-вторых, функция mail() должна быть настроена на использование sendmail. Кроме того, в PHP должен быть отключен safe_mode и злоумышленник должен знать абсолютный путь к корневой папке.

Тем не менее, такие конфигурации по умолчанию далеко не редкость и эксперты считают, что существуют десятки или сотни тысяч уязвимых систем. Roundcube был загружен с сайта SourceForge более чем 260000 раз только в 2016 году.

С выпуском версий Roundcube 1.2.3 и 1.1.7 проблема была решена.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Молодой уральский медик попал под суд за поиск экстремистских материалов
Яков Шпунт 07 Ноября 2025 - 14:50
Соответствие законодательству РФ Домашние пользователиГосударство
Молодой уральский медик попал под суд за поиск экстремистских материалов

В Свердловской области суд рассматривает дело молодого медика, обвиняемого в умышленном поиске экстремистских материалов (ст. 13.53 КоАП РФ). Это первый известный случай попытки привлечь к ответственности по новой статье, введённой летом 2025 года.

Согласно законодательству, штраф до 5 тысяч рублей грозит тем, кто осуществляет «поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств для обхода ограничений доступа к информационным ресурсам».

Как сообщают местные СМИ со ссылкой на адвоката обвиняемого Сергея Барсукова, 20-летний медик столкнулся с запрещённой информацией случайно — 24 сентября, по дороге на работу. По словам защитника, молодой человек лишь наткнулся на сведения о ряде организаций, признанных в России экстремистскими.

Однако, как уточнили источники РИА Новости в оперативных службах, фигурант состоял в неонацистских интернет-сообществах. Его поисковые запросы, по данным следствия, касались деятельности украинских националистических формирований, признанных в России террористическими и запрещёнными.

В тот же день молодого человека вызвали в отдел ФСБ, а 8 октября на него был составлен протокол об административном правонарушении по статье 13.53 КоАП РФ. Адвокат Барсуков предполагает, что информацию в спецслужбы мог передать мобильный оператор.

Первое судебное заседание прошло в конце октября. Защита ходатайствовала о вызове свидетелей.

«Я считаю, что на основании представленных материалов нельзя строить обвинение. До суда я направил жалобу в УФСБ по Свердловской области с просьбой провести служебную проверку в отношении сотрудников отдела по Каменску-Уральскому — на предмет оказания психологического давления на моего подзащитного. Аналогичное обращение направлено в Главное управление МВД России по региону», — заявил адвокат Сергей Барсуков.

Второе заседание состоялось 6 ноября. Свидетели, вызванные в суд, не явились. В итоге суд не стал выносить решение и вернул материалы дела на доработку.

«Сегодня я обратил внимание суда на то, что представленные материалы являются „сырыми“: в них отсутствуют доказательства вины моего подзащитного. Суд с доводами согласился и направил дело правоохранителям для устранения недостатков. Будут ли они устранены — сомневаюсь, поскольку мой подзащитный невиновен», — прокомментировал итоги заседания Сергей Барсуков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Вышел Solar inRights 3.8: интеграция с DAG и автоматизация отзыва прав
Новость
Вышел Solar inRights 3.8: интеграция с DAG и автоматизация о...
Мошенники создали более 400 сайтов для сбора данных российских школьников
Новость
Мошенники создали более 400 сайтов для сбора данных российск...
В России снизилась доля заражённых АСУ-компьютеров до 18%
Новость
В России снизилась доля заражённых АСУ-компьютеров до 18%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.