I roto i tetahi whanaketanga tata nei, kua tautuhia e te US Cybersecurity and Infrastructure Security Agency (CISA) tetahi whakaraeraetanga nui i roto i te rorohiko imeera Roundcube, kua tohua hei CVE-2023-43770. Ko tenei whakaraeraetanga, kua whakarōpūtia hei koha o te tuhi-paepae (XSS) me te whiwhinga CVSS o 6.1, kua kaha te whakamahi i te mohoao. Ka rukuhia e tenei tuhinga nga korero mo te CVE-2023-43770, ona hua pea, nga putanga kua pa, me nga huarahi whakatikatika e taunakihia ana e nga mana whakahaere ipurangi.
Nga korero mo CVE-2023-43770
Ko te CVE-2023-43770 e aro ana ki te whakahaere pohehe o nga linkrefs i roto i nga karere kuputuhi noa i roto i te Roundcube Webmail turanga. Ko tenei koha ka hangaia he huarahi pea mo te whakaeke i te tuhi tuhi-paepae (XSS) tohe, he nui te tupono o te whakaputa korero ma nga tohutoro hono kino. Ahakoa ko nga korero motuhake o te mahi kaore i te korerohia, ko te kaha o nga whakaraeraetanga XSS e whakaatu ana i te tere mo te mahi tere.
Ka pa te whakaraeraetanga ki nga putanga Roundcube i mua i te 1.4.14, 1.5.x i mua i te 1.5.4, me te 1.6.x i mua i te 1.6.3. Kua whakautu wawe nga Kaipupuri Roundcube ma te tuku i te putanga 1.6.3 i te Mahuru 15, 2023, e aro ana, e whakaiti ana i te whakaraeraetanga kua kitea. Ko te nama mo te kitenga me te purongo o CVE-2023-43770 ka haere ki te kairangahau haumaru Zscaler Niraj Shivtarkar.
Nga Whakamutunga me nga Kaihanga Whakawehi Pumanawa
Ko nga mahi o mua kua whakaatu ko nga whakaraeraetanga o nga kaihoko imeera i runga ipurangi ka waiho hei patu hei whiriwhiri ma nga kaiwhakaari whakatuma. Ko nga roopu rongonui, penei i te APT28 me Winter Vivern, kua whakamahi i nga whakaraeraetanga o mua. Ko nga hua ka puta mai i te whakamahi CVE-2023-43770 ko te uru kore mana, te tahae raraunga, me te whakararu i nga korero tairongo. Ko te tere mo nga kaiwhakamahi me nga whakahaere ki te whakatinana i nga tikanga haumarutanga kaore e taea te korero.
Te Whakautu me te Whakamamae
Hei whakautu mo te riri kua tautuhia, kua tukuna e te US Federal Civilian Executive Branch (FCEB) he whakahau mo te whakatinanatanga o nga whakatikatika i tukuna mai e te kaihoko mai i te Maehe 4, 2024. Ko tenei tohutohu e whai ana ki te whakapakari i te haumarutanga whatunga me te tiaki i nga tuma ipurangi ka puta mai i te whakaraeraetanga CVE-2023-43770.
Nga Mahi Pai mo te Aukati
Ko te aukati i nga mate a meake nei me whai huarahi kaha ki te haumaru ipurangi. Whakaarohia nga mahi pai e whai ake nei:
- Whakahōu Pūmanawa: Whakahou i nga wa katoa a Roundcube me etahi atu rorohiko ki nga putanga hou ki te tarai i nga whakaraeraetanga me te whakarei ake i te haumarutanga.
- Whakatinana i nga Painga Haumarutanga: Hoatuhia nga papaki me nga whakahoutanga e whakaratohia ana e nga kaihoko rorohiko ki te whakatika i nga whakaraeraetanga kua kitea.
- Whakangungu Ahumahi Kaiwhakamahi: Whakangunguhia nga kaiwhakamahi ki te mohio me te ripoata i nga imeera, i nga mahi ranei hei whakaiti i te tupono ka taka ki nga mahi mahi.
- Wehenga Whatunga: Whakatinanahia te wehewehenga whatunga hei whakatiki i te paanga o nga whakaeke angitu me te pupuri i te horapa o nga tuma.
Opaniraa
Ko te whakamahi i te CVE-2023-43770 i roto i te rorohiko imeera Roundcube e whakaatu ana i te tipu o te whenua whakatuma me te hiahia mo nga mahi haumaru ipurangi. Me tere te mahi a nga kaiwhakamahi me nga whakahaere ki te tono i nga papanga haumarutanga e tika ana, te whakahou i nga rorohiko, me te whakanui i te mohiotanga ki waenga i nga kaiwhakamahi ki te whakaiti i te tupono ka taka ki enei whakaraeraetanga. Ko nga mahi mahi tahi a nga kairangahau haumaru, kaihoko rorohiko, me nga mana haumaru ipurangi he mahi nui ki te tiaki i nga taiao matihiko mai i te puta mai. tuma ipurangi.