IceWarp ha rilasciato un aggiornamento di sicurezza per affrontare una vulnerabilità critica riscontrata durante i nostri regolari audit di sicurezza.
Questa vulnerabilità potrebbe consentire a un attaccante di ottenere accesso non autorizzato al server su cui è in esecuzione IceWarp, sia su piattaforme Windows che Linux.
ESORTIAMO TUTTI I CLIENTI AD AGGIORNARE LA PROPRIA ISTANZA ICEWARP IL PRIMA POSSIBILE PER RAGGIUNGERE LE SEGUENTI VERSIONI:
- IceWarp Epos (versioni 14.x.x.x fino alla 14.2.0.8 inclusa): aggiornare alla versione 14.2.0.9 o successiva.
- Deep Castle (versioni 13.0.x.x) e versioni precedenti: aggiornare alla versione 13.0.3.13.
È fortemente sconsigliato effettuare l’aggiornamento diretto alla versione 14 dalle serie precedenti, si raccomanda di attenersi strettamente alle indicazioni qui sopra.
A nostra conoscenza, finora nessun cliente è stato interessato dalla vulnerabilità; tuttavia raccomandiamo vivamente di utilizzare le versioni più recenti.
In caso di dubbi o timori riguardo all’installazione autonoma, il nostro team di supporto è a disposizione per chiarimenti e qualsiasi altra necessità.
DOWNLOAD BUILD
DOMANDE FREQUENTI (FAQ)
- Cosa è successo? Nell’ambito dei nostri test di penetrazione di routine e regolari, abbiamo ricevuto una segnalazione che evidenzia una vulnerabilità di sicurezza critica. Se lo script utilizzato dagli attaccanti è opportunamente elaborato, potrebbe potenzialmente portare a una compromissione completa del server.
- Chi è stato colpito? Potrebbero essere interessate tutte le installazioni, tuttavia, non si è verificato alcun incidente reale. La patch è disponibile tramite i collegamenti indicati sopra.
- Quali versioni di IceWarp sono interessate? Il problema riguarda le versioni dalla 11.0.0 fino all’ultima release.
- La vulnerabilità interessa Windows o Linux? La vulnerabilità interessa entrambi i sistemi operativi.
- C’è stato qualche caso registrato? No, la sicurezza dei nostri clienti non è stata compromessa.
- Quali misure correttive sono state adottate? Una patch di sicurezza è stata immediatamente preparata e distribuita ai nostri partner e clienti, insieme alle istruzioni per l’installazione urgente della nuova.
- Come verrà distribuita la patch? La patch verrà distribuita tramite un link KB allegato a un’e-mail ; i destinatari non dovranno cercare file o informazioni aggiuntive. Tutte le istruzioni di installazione richieste e i dettagli di supporto saranno forniti nel KB.
- Come pensate di prevenire incidenti futuri? Tali incidenti non possono essere completamente evitati; tuttavia, continueremo a condurre audit di sicurezza regolari e a implementare aggiornamenti e patch più frequenti per affrontare in modo proattivo le potenziali vulnerabilità.
- Sto utilizzando una versione di una serie precedente (es. 13.x, 12.x, ecc.), posso aggiornare direttamente alla versione 14.x più recente? Effettuare l’aggiornamento diretto alla serie 14 (versione 14.2.0.9 o successiva) elimina la vulnerabilità in questione, ma è un’operazione più complessa, per la quale devono essere preventivamente verificati una serie di requisiti e condizioni, come indicato in questa pagina. Considerata la criticità e l’urgenza, è raccomandato intanto l’aggiornamento alla versione 13.0.3.13, rimandando il passaggio alla serie 14 a un momento successivo.
- Sto utilizzando una vecchia licenza, con il periodo di manutenzione scaduto. Posso aggiornare la mia installazione ed eliminare questa vulnerabilità? No, per applicare gli aggiornamenti occorre disporre di una licenza con il periodo di manutenzione in corso di validità. È opportuno contattare al più presto il nostro team di supporto per valutare le possibilità di rinnovo della licenza e aggiornamento dell’installazione vulnerabile.
15/10/2025 (aggiornato 12/11/2025)
