Хакеры могут использовать уязвимость в Roundcube, просто отправив email
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Олег Иванов 08 Декабря 2016 - 10:29
...
Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо.

Недостаток был обнаружен фирмой RIPS Technologies и связан с функцией PHP mail(), которая используется для отправки электронной почты. При вызове этой функции PHP выполняет программу командной строки sendmail.

Проблема заключается в том, что пользовательский ввод не обрабатывается должным образом в пятом параметре функции mail(). Это позволяет злоумышленнику передавать произвольные аргументы. Об этой уязвимости было известно уже более двух лет, однако разработчики Roundcube упустили ее из вида.

По словам RIPS, злоумышленник может создать вредоносный PHP-файл в корневом каталоге веб-системы, выполнив Sendmail с опцией -X, которая используется для логирования всего почтового трафик в специальном файле. Такой PHP-файл может позволить хакеру выполнять команды и проводить различные махинации, например, чтение электронной почты или получение доступа к другим системам в сети.

RIPS объясняют, что брешь может быть использована злоумышленником, который имеет доступ к целевой системе и может посылать электронную почту со скомпрометированной машины. После получения доступа, злоумышленник может использовать брешь, введя специальный код в поле «От».

Есть несколько условий, которые должны быть соблюдены для того, чтобы уязвимость сработала. Во-первых, Roundcube должен быть настроен на использование функции mail(), во-вторых, функция mail() должна быть настроена на использование sendmail. Кроме того, в PHP должен быть отключен safe_mode и злоумышленник должен знать абсолютный путь к корневой папке.

Тем не менее, такие конфигурации по умолчанию далеко не редкость и эксперты считают, что существуют десятки или сотни тысяч уязвимых систем. Roundcube был загружен с сайта SourceForge более чем 260000 раз только в 2016 году.

С выпуском версий Roundcube 1.2.3 и 1.1.7 проблема была решена.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России будут блочить боты Telegram, предлагающие подмену голоса
Татьяна Никитина 07 Ноября 2025 - 13:04
Дипфейк (Deepfake)Соответствие законодательству РФ Домашние пользователиГосударство
В России будут блочить боты Telegram, предлагающие подмену голоса

Хамовнический суд Москвы признал запрещенной публикуемую в мессенджерах информацию о возможности изменения голоса во время звонков. Телеграм-боты, предлагающие такие услуги, подлежат блокировке на территории РФ.

Решение принято судом по ходатайству прокуратуры, поданному в защиту неопределенного круга лиц. Ответчику (Роскомнадзору) предписано ограничить доступ к ресурсам Telegram, нарушающим российское законодательство.

Основанием для иска послужили результаты прокурорской проверки. В их ходе был выявлен ряд телеграм-ботов, предлагающих услуги по подмене голоса инициатора телефонных вызовов и аудиобесед в мессенджере.

Суд установил, что публичный доступ к таким ресурсам повышает риск их использования в нарушение российских законов о связи, противодействии терроризму и экстремистской деятельности. Кроме того, доступность услуг по подмене голоса провоцирует мошенничество, с которым российские власти усиленно борются.

Особенно опасны в этом плане дипфейки. В прошлом году из-за использования злоумышленниками ИИ-технологий число атак с применением дипфейков, по данным экспертов МТС, измерялось десятками тысяч.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google закрыла критические дыры в Android, две уже фигурируют в атаках
Новость
Google закрыла критические дыры в Android, две уже фигурирую...
Google меняет процесс патчей для Android: теперь главное — риск уязвимости
Новость
Google меняет процесс патчей для Android: теперь главное — р...
Обнаружен новый Android-троян Datzbro: жертвами становятся пожилые люди
Новость
Обнаружен новый Android-троян Datzbro: жертвами становятся п...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.