重要な脆弱性情報 脆弱性の種類 XSS(クロスサイトスクリプティング):格納型XSS(Stored XSS)と自己XSS(Self XSS)を含む。 影響を受けるバージョン Roundcubeバージョン:FedoraおよびEPELで提供されているrcmailの0.7.xおよび0.8.xバージョンに影響があることが確認されている。 Red Hat Enterprise Linux (RHEL):影響の有無を確認する必要がある。 具体的な問題 1. 問題1: 新Larryスキンおよび件名行表示時のテキストコンテンツに関するXSS問題 - 説明: 新しいLarryスキンの導入に伴い、件名行の表示時にXSS問題が発生した。 - アップストリームパッチ: パッチは提供されているが、FedoraおよびEPELの0.7.xバージョンへの適用可否を確認する必要がある。 - 参照リンク: Tracチケットリンク、アップストリームパッチリンク 2. 問題2: メール本文における格納型XSS - 説明: メール本文に格納型XSSの脆弱性が存在することが発見された。 - アップストリームパッチ: アップストリームパッチが提供されており、FedoraおよびEPELのrcmailバージョンへの適用可否を検証する必要がある。 - 参照リンク: Tracチケットリンク、アップストリームパッチリンク 3. 問題3: メール本文(署名部分)における自己XSS - 説明: メール本文の署名部分に自己XSSの脆弱性が存在することが発見された。 - アップストリームパッチ: アップストリームパッチが提供されているが、さらに詳細な検証が必要である。 - 参照リンク: Tracチケットリンク、アップストリームパッチリンク CVE情報 CVE-2012-3507:問題1に適用。 CVE-2012-3508:問題2および3に適用(これらは同一種類の脆弱性のため)。 確認の必要性 Fedora/EPELのrcmailバージョンが影響を受けているかどうかを確認するために、さらなる検証を行う必要がある。