Sicherheitsupdate für Roundcube

Roundcube hat kurz nach der Veröffentlichung einer neuen Version im September nun ein wichtiges Sicherheitsrelease herausgegeben. Grund dafür ist, dass eine Sicherheitslücke entdeckt wurde. Wer ein selbstgehostetes Roundcube einsetzt, sollte seine Version auf den Stand 1.2.3 bringen. Als clickStart-Anwendung wird bereits 1.2.3 installiert. Beachten Sie dazu auch unseren Hinweis im Forum.

Wichtig ist, das Update so vorzunehmen, wie es hier im Abschnitt „Via FTP and Installer“ beschrieben ist:
https://github.com/roundcube/roundcubemail/wiki/Upgrade

  1. Der erste Schritt wäre ein Backup.
  2. Dann lädt man die aktuelle Version herunter (zum Beispiel von https://roundcube.net/download).
  3. Nun muss man den Tarball (.tar.gz) entpacken
  4. Wichtig ist, die Informationen in den Dateien UPGRADING und INSTALL zu beachten.
  5. Anschließend, so die Empfehlung, kann man die Roundcube-Dateien in der entsprechenden Struktur hochladen:
    ./bin/*
    ./SQL/*
    ./program/*
    ./installer/*
    ./vendor/*
    Außerdem muss man Inhalte aus  plugins/* und skins/* hochladen, sollte aber nicht alle Skins- und Plugin-Ordner einfach ersetzen. Möglicherweise hat man ja selbst andere, zusätzliche Skins und Plugins hinzugefügt. Die wären dann verloren.Zudem müssen das defaultmäßige config-file und die Mime-Typ-Zuordnung kopiert werden:
    config/defaults.inc.php
    config/mimetypes.php
  6. Nun geht es darum, die Installationsroutine auszuführen
    Vorbereitend wird die Datei Roundcube config ( config/config.inc.php beziehungsgweise config/main.inc.php für Versionen unter 1.0) editiert und der Eintrag  ‚enable_installer‘ auf true gesetzt. Dann ruft man http://<url-to-roundcube>/installer/ mit dem Browser auf und klickt auf Punkt „3. Test config“.Bitte den Hinweisen am Schirm folgen. Die lokale Konfigurationsdatei und das Datenbankschema wird angepasst.

    Am Ende dieses Schritts sollten alle Signale im Installationsmenüauf grün stehen. Nun soll man das Roundcube config-file erneut editieren, um ‚enable_installer‘ auf false zu setzen, wenn dieser Eintrag überhaupt noch vorhanden ist. Um die Installation zu schützen, sollte man das ganze Installationsverzeichnis vom Webspace löschen.

 

Dieser Beitrag wurde unter Mail, Sicherheit, Webbasierte Open Source Software abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.