#51405 – Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до версии 1.6.8

Bug 51405 - Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до версии 1.6.8

Summary: Для исправления CVE-2024-42008, 42009, 42010 нужно обновить roundcube до верс...

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	roundcube (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 major
Assignee:	Vitaly Lipatov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2024-09-05 02:59 MSK by dfpl
Modified:	2024-09-05 02:59 MSK (History)
CC List:	1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description dfpl 2024-09-05 02:59:34 MSK

Недавно появилась новая версия roundcube, которая закрывает три уязвимости:
CVE-2024-42009  Fix XSS vulnerability in post-processing of sanitized HTML content 
CVE-2024-42008  Fix XSS vulnerability in serving of attachments other than HTML or SVG
CVE-2024-42010  Fix information leak (access to remote content) via insufficient CSS filtering

Проверил - собирается с прежним спеком, надо лишь добавить сведения о новом релизе.

См.:
https://github.com/roundcube/roundcubemail/releases/tag/1.6.8
https://sonarsource.com/blog/government-emails-at-risk-critical-cross-site-scripting-vulnerability-in-roundcube-webmail