Bug 51405

Summary: Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до версии 1.6.8
Product: Sisyphus Reporter: dfpl <lubyagin>
Component: roundcubeAssignee: Vitaly Lipatov <lav>
Status: NEW --- QA Contact: qa-sisyphus
Severity: major    
Priority: P5 CC: lav
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description dfpl 2024-09-05 02:59:34 MSK
Недавно появилась новая версия roundcube, которая закрывает три уязвимости:
CVE-2024-42009  Fix XSS vulnerability in post-processing of sanitized HTML content 
CVE-2024-42008  Fix XSS vulnerability in serving of attachments other than HTML or SVG
CVE-2024-42010  Fix information leak (access to remote content) via insufficient CSS filtering

Проверил - собирается с прежним спеком, надо лишь добавить сведения о новом релизе.

См.:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail