Article ID: 127940, created on Feb 16, 2016, last review on Feb 16, 2016

  • Applies to:
  • Plesk 12.5 for Linux
  • Plesk 12.0 for Linux

症状

12 月 21 日に、リモートでコードが実行されるおそれがある重大なセキュリティ脆弱性が Roundcube バージョン 1.1.3 に発見されました。

これにより、顧客が roundcube_sysuser:roundcube_sysgroup に代わって PHP コードを実行することが可能です。

現在、脆弱性のある Roundcube バージョン 1.1.3 は Plesk for Linux の 12.0 と 12.5 でオプションインストールの対象になっています。また、以下の Plesk 11.5 バージョンにも同じ脆弱性があります。

Plesk 11.5.30 for CentOS 6 (with Roundcube 0.9.5) is vulnerable.
Plesk 11.5.30 for CentOS 5 (with Roundcube 0.8.6) is vulnerable.

解決策

Plesk 12.0 と 12.5 の場合、以下のマイクロアップデートでこの問題に対応できます(Roundcube がバージョン 1.1.4 に更新されました)。

Plesk 11.5.30(CentOS 6)、plesk-roundcube-0.9.5 の場合:

  • ファイル /usr/share/psa-roundcube/program/include/rcmail_output_html.php を、添付の rcmail_output_html.php に置き換えます。

    # ll /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    -rw-r--r-- 1 root root 63089 Dec 31 02:06 /usr/share/psa-roundcube/program/include/rcmail_output_html.php
    

Plesk 11.5.30 CentOS 5、plesk-roundcube-0.8.6 の場合:

  • ファイル /usr/share/psa-roundcube/program/include/rcube_template.php を、添付の rcube_template.php に置き換えます。

    # ll /usr/share/psa-roundcube/program/include/rcube_template.php
    -rw-r--r-- 1 root root 50042 Dec 31 03:11 /usr/share/psa-roundcube/program/include/rcube_template.php
    

29d1e90fd304f01e6420fbe60f66f838 56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 742559b1631652fadd74764ae8be475e e335d9adf7edffca6a8af8039031a4c7 2a5151f57629129e26ff206d171fbb5f

Email subscription for changes to this article