I se atinaʻe talu ai nei, ua faʻaalia e le US Cybersecurity and Infrastructure Security Agency (CISA) se faʻafitauli matuia i le Roundcube email software, ua taʻua o le CVE-2023-43770. O lenei fa'aletonu, ua fa'avasegaina o se fa'asologa o tusitusiga i luga ole laiga (XSS) fa'atasi ai ma le sikoa CVSS o le 6.1, ua fa'aaogaina malosi i le vao. O lenei tusiga o le a suʻesuʻeina faʻamatalaga o le CVE-2023-43770, o ona aʻafiaga e ono tutupu, faʻafitauli o loʻo aʻafia, ma laasaga o le toe faʻaleleia o loʻo fautuaina e le pulega cybersecurity.
Fa'amatalaga o le CVE-2023-43770
CVE-2023-43770 fa'atotonugalemu ile fa'aogaina sese ole linkrefs ile fe'au tusitusia manino i totonu ole Roundcube Webmail tulaga. O lenei fa'aletonu e fa'atupuina ai se avanoa e mafai ai mo osofa'iga faifaipea fa'asaga i luga ole laiga (XSS), e fa'atupu ai se tulaga lamatia tele o fa'amatalaga fa'amatalaga e ala i feso'ota'iga leaga. E ui lava o faʻamatalaga patino o le faʻaogaina e le o faʻaalia, o le ogaoga o faʻafitauli o le XSS o loʻo faʻamamafaina ai le faanatinati mo se gaioiga vave.
O le fa'aletonu e a'afia ai lomiga Roundcube a'o lumana'i le 1.4.14, 1.5.x i luma ole 1.5.4, ma le 1.6.x i luma ole 1.6.3. Ua vave ona tali atu le au tausi Roundcube e ala i le tatalaina o le version 1.6.3 i le aso 15 o Setema, 2023, lea e faʻafeiloaʻi ma faʻaitiitia ai le faʻafitauli faʻaalia. Fa'atagaga mo le mauaina ma le lipotia o le CVE-2023-43770 e alu i le Zscaler security researcher Niraj Shivtarkar.
Taunuuga ma Fa'amata'u Fa'amata'u
O fa'alavelave ua tuana'i ua fa'aalia ai o fa'aletonu i luga ole laiga i luga ole laiga i luga ole laiga e mafai ona avea ma auupega o filifiliga mo tagata fa'amata'u. O vaega iloga, e pei ole APT28 ma Winter Vivern, na latou faʻaogaina faʻafitauli tutusa i le taimi ua tuanaʻi. O a'afiaga o le fa'aogaina o le CVE-2023-43770 e aofia ai le fa'atagaina le fa'atagaina, gaoi fa'amaumauga, ma le fa'amalieina o fa'amatalaga ma'ale'ale. O le faʻanatinati mo tagata faʻaoga ma faʻalapotopotoga e faʻatino faiga saogalemu e le mafai ona faʻateleina.
Tali ma Fa'aitiitia
I le tali atu i le faʻamataʻu faʻaalia, ua tuʻuina atu e le US Federal Civilian Executive Branch (FCEB) se faʻatonuga mo le faʻatinoina o faʻatauga tuʻuina atu i le aso 4 o Mati, 2024. le CVE-2023-43770 vaivai.
Fa'ata'ita'iga Sili mo Puipuiga
O le puipuia o fa'ama'i pipisi i le lumana'i e mana'omia ai se fa'ata'ita'iga fa'asagatau ile cybersecurity. Mafaufau i faiga sili nei:
- Taofi le polokalame fa'afou: Fa'afou i taimi uma le Roundcube ma isi polokalame i lomiga fou e fa'apipi'i ai fa'aletonu ma fa'aleleia le saogalemu.
- Fa'atino Patches Saogalemu: Fa'aoga patches ma fa'afouga tu'uina atu e tagata fa'atau polokalame fa'apolokalame vave e fa'ailoa ai fa'aletonu.
- A'oa'oga Fa'amatalaga Fa'aoga: A'oa'o tagata fa'aoga e iloa ma lipoti atu imeli po'o ni gaioiga masalomia e fa'aitiitia ai le lamatiaga o le pa'u'u manua i faiga fa'aoga.
- Vaega o Fesootaiga: Fa'atino le vaeluaga o feso'ota'iga e fa'agata ai le a'afiaga o osofa'iga manuia ma aofia ai le sosolo o fa'amata'u.
iʻuga
O le faʻaogaina o le CVE-2023-43770 i le Roundcube email software e faʻamaonia ai le faʻatupulaia o le faʻamataʻu mataʻutia ma le manaʻomia mo le malosi o le cybersecurity. E tatau i tagata fa'aoga ma fa'alapotopotoga ona gaoioi vave e fa'aoga le puipuiga talafeagai, fa'afou polokalame, ma fa'alaua'itele i tagata fa'aoga e fa'aitiitia ai le lamatiaga o le pa'u'u i ia fa'afitauli. O taumafaiga faʻatasi a tagata suʻesuʻe saogalemu, tagata faʻatau polokalame, ma pulega o le cybersecurity e taua tele le sao i le puipuia o siosiomaga numera mai le faʻaalia. taufaamataʻu i le cyber.