Zeroday lek in Roundcube webmail (CVE-2023-5631)

[Briolet]

Ik lees zojuist op security.nl dat er twee week geleden een zeroday lek gevonden is in roundcube. Deze geeft de aanvaller toegang tot je mail als je een speciaal geprepareerde schadelijke mail opent in de browser.

Roundcube heeft net updates uitgebracht voor hun 1.4, 1.5 en 1.6 series. Synology gebruikt echter 1.3.17 bij mailstation. (De laatste uit de 1.3.x serie) Ik kan niet vinden hier de bug nog niet in zat, of dat deze zo oud is dat er geen updates meer komen.

Voor de zekerheid kun je dus beter even geen mails van onbekende afzenders openen via de browser binnen roundcube zelf. Ik ben benieuwd hoe snel Synology hiervoor een update uitbrengt.

[Robert Koopman]

Versie 1.6.4 is de laatste denk ik.
Gebruik ik per 23-10 zie ik nu.

[Briolet]

Robert, dan gebruik jij het rechtstreeks en niet de Synology versie van Roundcube. Daarvan is de laatste versie 27 juni 2023 uitgekomen. (Zowel voor dsm 6 als 7) link

[Robert Koopman]

Klopt.
Synology liep altijd flink achter in de gebruikte versies.
Draai het nu op een aparte server maar gebruik wel Synology Mailserver.
Deze andere server update vele services automatisch, Roundcube blijkbaar ook 

[Babylonia]

@Robert Koopman

Intentie om ook Mail Station te installeren op de NAS (als back-up van mijn mail-box bij service provider).
Eigenlijk niet eens een server nodig. (E-mail box bij provider blijft gehandhaafd).

Nu lees ik dat je een "aparte" server hebt draaien, waarbij je daarmee reeds automatisch op de laatste Roundcube versie zit.
Dat draaien met server, is dat dan niet op een Synology NAS maar vergelijkbaar op ander apparaat??
Of is de Roundcube binnen  Mail Station  (op de NAS) mogelijk ook apart / manueel te updaten?
Met pakketten vanaf de Roundcube website te verkrijgen.  Of wordt zoiets te moeizaam om dat handmatig te kunnen updaten?

https://roundcube.net/
https://roundcube.net/download/

[Robert Koopman]

Ik gebruik alleen MailServer, geen MailStation.
Dus de mail komt wel gewoon op mijn NAS binnen.
Roundcube draait op een andere server.
Die server is geen NAS.

[Babylonia]

OK, dank voor je bericht.
Duidelijk dat in jou situatie het geen betrekking heeft op een "Mail Station" pakket van een Synology NAS.

Heb even manueel het Mail Station pakket gedownload van de Synology download server. En bekeken waar het pakket uit bestaat.
Het betreft een "ingepakt" pakket wat je m.b.v. "WinRAR" verder kunt uitpakken in verschillende onderdelen, en "proberen" te analyseren.
Maar te weinig kennis / inzicht daarin.

Dus ga het maar eens gewoon installeren en bekijken.   Ook al loopt het achter op de actuele Roundcube versie.
Als "back-up",  heb ik voorafgaand aan een back-up, e-mail berichten doorgaans bij de provider toch al van onbekende mails ontdaan.
(Hoewel het versienummer niet overeenstemt, geeft de provider aan dat zij een patch hebben geïnstalleerd m.b.t CVE-2023-5631).

[Briolet]

Synology heeft overigens de CVE-2023-5631  in de update van eind november gedicht.  (versie lijst).

Alleen hebben ze dat niet gedaan door Roundcube te updaten, maar door de bug binnen de oude Roundcube versie te dichten. Na updaten heb ik nog steeds roundcube 1.3.17.  (Gezien het versienummer hadden ze dit al eind oktober voor elkaar want het versienummer bevat daar de aanmaakdatum)

[Babylonia]

OK, dank voor deze extra info.   Feitelijk vergelijkbaar met wat mijn provider ook heeft uitgevoerd, toen ik daar vragen over stelde.
Een patch m.b.t CVE-2023-563.    De Roundcube versie zelf was erbij niet veranderd.

[Briolet]

Nog wat update over deze bug:

'Tachtig organisaties aangevallen via zerodaylek in Roundcube Webmail'

Niet iedereen is even zorgvuldig met het tijdig patchen van hun software.