Auteur Topic: Zeroday lek in Roundcube webmail (CVE-2023-5631)  (gelezen 1529 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Zeroday lek in Roundcube webmail (CVE-2023-5631)
« Gepost op: 26 oktober 2023, 09:50:12 »
Ik lees zojuist op security.nl dat er twee week geleden een zeroday lek gevonden is in roundcube. Deze geeft de aanvaller toegang tot je mail als je een speciaal geprepareerde schadelijke mail opent in de browser.

Roundcube heeft net updates uitgebracht voor hun 1.4, 1.5 en 1.6 series. Synology gebruikt echter 1.3.17 bij mailstation. (De laatste uit de 1.3.x serie) Ik kan niet vinden hier de bug nog niet in zat, of dat deze zo oud is dat er geen updates meer komen.

Voor de zekerheid kun je dus beter even geen mails van onbekende afzenders openen via de browser binnen roundcube zelf. Ik ben benieuwd hoe snel Synology hiervoor een update uitbrengt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Zeroday lek in Roundcube webmail
« Reactie #1 Gepost op: 26 oktober 2023, 11:23:36 »
Versie 1.6.4 is de laatste denk ik.
Gebruik ik per 23-10 zie ik nu.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Zeroday lek in Roundcube webmail
« Reactie #2 Gepost op: 26 oktober 2023, 11:47:20 »
Robert, dan gebruik jij het rechtstreeks en niet de Synology versie van Roundcube. Daarvan is de laatste versie 27 juni 2023 uitgekomen. (Zowel voor dsm 6 als 7) link
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Zeroday lek in Roundcube webmail
« Reactie #3 Gepost op: 26 oktober 2023, 12:02:54 »
Klopt.
Synology liep altijd flink achter in de gebruikte versies.
Draai het nu op een aparte server maar gebruik wel Synology Mailserver.
Deze andere server update vele services automatisch, Roundcube blijkbaar ook  8)
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Zeroday lek in Roundcube webmail
« Reactie #4 Gepost op: 12 december 2023, 15:22:21 »
@Robert Koopman

Intentie om ook Mail Station te installeren op de NAS (als back-up van mijn mail-box bij service provider).
Eigenlijk niet eens een server nodig. (E-mail box bij provider blijft gehandhaafd).

Nu lees ik dat je een "aparte" server hebt draaien, waarbij je daarmee reeds automatisch op de laatste Roundcube versie zit.
Dat draaien met server, is dat dan niet op een Synology NAS maar vergelijkbaar op ander apparaat??
Of is de Roundcube binnen  Mail Station  (op de NAS) mogelijk ook apart / manueel te updaten?
Met pakketten vanaf de Roundcube website te verkrijgen.  Of wordt zoiets te moeizaam om dat handmatig te kunnen updaten?

https://roundcube.net/
https://roundcube.net/download/
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Zeroday lek in Roundcube webmail
« Reactie #5 Gepost op: 12 december 2023, 19:40:10 »
Ik gebruik alleen MailServer, geen MailStation.
Dus de mail komt wel gewoon op mijn NAS binnen.
Roundcube draait op een andere server.
Die server is geen NAS.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Zeroday lek in Roundcube webmail
« Reactie #6 Gepost op: 12 december 2023, 23:16:38 »
OK, dank voor je bericht.
Duidelijk dat in jou situatie het geen betrekking heeft op een "Mail Station" pakket van een Synology NAS.

Heb even manueel het Mail Station pakket gedownload van de Synology download server. En bekeken waar het pakket uit bestaat.
Het betreft een "ingepakt" pakket wat je m.b.v. "WinRAR" verder kunt uitpakken in verschillende onderdelen, en "proberen" te analyseren.
Maar te weinig kennis / inzicht daarin.

Dus ga het maar eens gewoon installeren en bekijken.   Ook al loopt het achter op de actuele Roundcube versie.
Als "back-up",  heb ik voorafgaand aan een back-up, e-mail berichten doorgaans bij de provider toch al van onbekende mails ontdaan.
(Hoewel het versienummer niet overeenstemt, geeft de provider aan dat zij een patch hebben geïnstalleerd m.b.t CVE-2023-5631).

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Zeroday lek in Roundcube webmail
« Reactie #7 Gepost op: 18 december 2023, 13:06:37 »
Synology heeft overigens de CVE-2023-5631  in de update van eind november gedicht.  (versie lijst).

Alleen hebben ze dat niet gedaan door Roundcube te updaten, maar door de bug binnen de oude Roundcube versie te dichten. Na updaten heb ik nog steeds roundcube 1.3.17.  (Gezien het versienummer hadden ze dit al eind oktober voor elkaar want het versienummer bevat daar de aanmaakdatum)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Zeroday lek in Roundcube webmail
« Reactie #8 Gepost op: 18 december 2023, 13:47:30 »
OK, dank voor deze extra info.   Feitelijk vergelijkbaar met wat mijn provider ook heeft uitgevoerd, toen ik daar vragen over stelde.
Een patch m.b.t CVE-2023-563.    De Roundcube versie zelf was erbij niet veranderd.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Zeroday lek in Roundcube webmail (CVE-2023-5631)
« Reactie #9 Gepost op: 19 februari 2024, 16:19:11 »
Nog wat update over deze bug:

'Tachtig organisaties aangevallen via zerodaylek in Roundcube Webmail'

Niet iedereen is even zorgvuldig met het tijdig patchen van hun software.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac