Gestern wurde eine kritische Sicherheitslücke im Roundcube Webmail System veröffentlich, welches ebenfalls in dieser Version auch bei unseren Serversystemen im Zusammenhang mit der Verwaltungsoberfläche I-MSCP zum Einsatz kommt. Wie durch heise.de Security bekanntgegeben betrifft die Sicherheitslücke die mail() Funktion, mit welcher Roundcube Webmail standardmäßig arbeitet. Wir haben dazu bereits mit den Entwicklern der Verwaltungsoberfläche I-MSCP Rücksprache gehalten und das Problem analysieren lassen.
Grundsätzlich kommt bei I-MSCP ebenfalls die Roundcube Version zum Einsatz, welche die Sicherheitslücke aufweist, allerdings arbeitet I-MSCP an dieser Stelle nicht mit der Funktion mail(). Die Sicherheitslücke ist zwar vorhanden, kann aber nicht ausgenutzt werden. Das offizielle statement dazu wurde bereits im I-MSCP Forum veröffentlicht.
Beim nächsten I-MSCP Update wird aber selbstverständlich auch ein Patch auf die aktuellste Roundcube Version erfolgen.