RoundCube es un fantastico cliente IMAP basado en web (webmail) de nueva generación escrito en PHP con una interfaz muchisimo más rica (XHTML/CSS) que su más directa competencia como Horde/Squirrelmail.

Todas las versiones inferiores a la 0.2b son susceptibles a la ejecución remota de código por parte de un atacante al tratar de manera insegura la función prog_replace en PHP.

Advisory

La versión 0.2 stable ya esta disponible para su descarga aquí

Podemos comprobar si nuestro sistema esta afectado con el siguiente PoC (Proof of Concept):

wget -q –header=»Content-Type: »» \
-O – –post-data=’{${phpinfo()}}‘ \
–no-check-certificate \
http://ipdenuestroservidor /roundcubemail-0.2-alpha/bin/html2text.php

Actualización en Directadmin

Roundcube trae un shell script y un instalador PHP para realizar la actualización propiamente dicha, por lo cual voy a basarme en la forma de hacerlo en Directadmin (directamente afectado por el problema al exponer los webmail por defecto sin un método de autenticación) y porque además la gente de Directadmin no lo añadio «oficialmente» al versions.txt.

Editamos options.conf para desactivar el autover y activar clean_old_webapps

perl -pi -e ‘s|autover=yes|autover=no|’ /usr/local/directadmin/custombuild/options.conf
perl -pi -e ‘s|clean_old_webapps=no|clean_old_webapps=yes|’ /usr/local/directadmin/custombuild/options.conf

cd /usr/local/directadmin/custombuild
./build update
wget -O roundcubemail-0.2-stable.tar.gz http://switch.dl.sourceforge.net/sourceforge/roundcubemail/roundcubemail-0.2-stable.tar.gz
perl -pi -e ‘s|roundcubemail:0.1.1:a2bf665acd7f8a6b2b63c92aedefb23f|roundcubemail:0.2-stable:a029f57239fe32ea133357f4208f753f|’ versions.txt
./build roundcube

Después de esto podemos realizar el proceso con el options.conf a la inversa para reactivar esas opciones.