Sicherheitslücke Roundcube [GELÖST]

[Ralph]

Warum ziehst du die dann nicht direkt um...? Dann hättest du im Winter Ruhe...

würde ich ja gerne, ist nur zu viel um auf die Schnelle zu migrieren, aber wenn ich die Roundcubes mal geflickt habe, komme ich endlich wieder weiter damit (hoffentlich)
L.G.

[Jolinar]

würde ich ja gerne, ist nur zu viel um auf die Schnelle zu migrieren

Jajaja...Die Leiden eines Administrators

[Jolinar]

BTT!

[Alexander]

-> Fixed mit KeyHelp 23.2.1 und Roundcube 1.6.4.

[Ralph]

und auf ein neues ...
https://roundcube.net/news/2023/11/05/s ... -and-1.5.6

jetzt wird es langsam massiv nervig, habe erst 5 Tage lang die Mist Software aktualisiert ... überlege mir ob ich die auf den alten Systemen einfach erstmal deaktiviere, so schnell geht das jetz gar nicht ...
darf ja wohl nisch wahr sein

[Jolinar]

jetzt wird es langsam massiv nervig, habe erst 5 Tage lang die Mist Software aktualisiert ... überlege mir ob ich die auf den alten Systemen einfach erstmal deaktiviere, so schnell geht das jetz nicht ...

Also das ist aber jetzt "Jammern auf hohem Niveau..."

Der letzte Patch war ein Einzeiler am CLI...also mit Terminal öffnen, Kommando einfügen, ausführen und Terminal wieder schließen sicher in unter 1 Minute zu exekutieren...Wieviele Maschinen mußtest du denn da patchen, daß du 5 Tage dafür gebraucht hast...?

[Ralph]

Wieviele Maschinen mußtest du denn da patchen, daß du 5 Tage dafür gebraucht hast...?

ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

[l_fish]

ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können

[Ralph]

ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können

klar, ich hab ja gerade auch sehr viel Zeit darüber nachzudenken ... bevor ich die Probleme lösen kann
55 Stück davon sind Kunden VPS (KVM)

[Jolinar]

ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

Am Beispiel des letzten Patches...1-2 Minuten Arbeit für das Script (Da müssen natürlich noch die echten Serverdaten rein^^):

Code: Select all

#!/bin/bash

# Liste der Server-IP-Adressen oder Hostnamen
servers=("server1" "server2" "server3" ... "server50")

# Schleife zum Ausführen des Befehls auf jedem Server
for server in "${servers[@]}"; do
    echo "Verbinde mit $server und führe den Befehl aus..."
    ssh user@$server 'wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php'
    echo "Befehl auf $server ausgeführt."
done

Warum habt ihr nur alle so eine Angst vor dem CLI

[24unix]

ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können

klar, ich hab ja gerade auch sehr viel Zeit darüber nachzudenken ... bevor ich die Probleme lösen kann
55 Stück davon sind Kunden VPS (KVM)

Also wenn ich 55 Kundenserver hätte, hätte ich das schon lange mit Playbooks erledigt.

Wenn Dir ein paar USD nicht wehtun, Du etwas Zeit hast, und Englisch kannst:

https://symfonycasts.com/screencast/ansible

Ich fand es sehr hilfreich, konnte mir so aussuchen, ob ich nen Jobs als Dev oder DevOps nehme

[Fezzi]

Gibt es denn schon einen Patch um nicht gleich einen kompletten Versions Update durchfuehren zu muessen?

[Ralph]

Am Beispiel des letzten Patches...1-2 Minuten Arbeit für das Script (Da müssen natürlich noch die echten Serverdaten rein^^):

Code: Select all

#!/bin/bash

# Liste der Server-IP-Adressen oder Hostnamen
servers=("server1" "server2" "server3" ... "server50")

# Schleife zum Ausführen des Befehls auf jedem Server
for server in "${servers[@]}"; do
    echo "Verbinde mit $server und führe den Befehl aus..."
    ssh user@$server 'wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php'
    echo "Befehl auf $server ausgeführt."
done

Wenn Dir ein paar USD nicht wehtun, Du etwas Zeit hast, und Englisch kannst:
https://symfonycasts.com/screencast/ansible
Ich fand es sehr hilfreich, konnte mir so aussuchen, ob ich nen Jobs als Dev oder DevOps nehme

Danke für eure Tipps, ich schaue es mir an sobald ich Zeit finde (demnächst), genauso geht es mir gerade mit den geplanten shared host Migrationen ... wieder verschoben
Bei den VPS RC Updates mußte ich alles in Handarbeit aktualisieren, da gab es noch einige wo die configs geändert werden mussten und einige Plugins deinstalliert und aktualisiert werden mussten, hat dementsprechend lange gedauert.
Aber wie auch immer, was momentan bei OS & Software Updates incl. Smartphones abgeht, ist beängstigend, da wird auch richtig viel Energie verbraten nebst Zeitaufwand ... und Nerven

[Ralph]

@Alexander
Ich kann jetzt Deine Entscheidung (Bedenken) bezgl. zusätzlicher Roundcube Third Party Plugins sehr gut nachvollziehen.
Ich bereue es jetzt bei den RC Upgrades von meinen alten Systmen ... muß man nicht wirklich haben

[l_fish]

Hier ein neues Patch-Script für das Update von roundcube 1.6.4 auf 1.6.5.

Da es hier deutlich mehr geänderte Dateien gab, habe ich den Patch dieses mal "anders herum" umgesetzt (was auch für künftige Updates eher sinnvoll wäre), d.h. ich kopiere erst die Änderungen weg, die keyhelp an der Version 1.6.4 vorgenommen hat (sind derzeit nur hinzugefügte Dateien und geänderte Dateirechte), spiele dann Version 1.6.5 ein und schiebe die Dateien aus keyhelp wieder dort herein.

Schnell runter geschrieben und daher sicher nicht optimiert, aber erfolgreich getestet auf zwei Instanzen. Trotzdem alles ohne Gewähr, versteht sich:

Code: Select all

# backup changes from keyhelp
cp -p /home/keyhelp/www/roundcube/config/config.inc.php config.inc.php
cp -rp /home/keyhelp/www/roundcube/plugins/keyhelp_sync_identities .
cp -p /home/keyhelp/www/roundcube/plugins/managesieve/config.inc.php ms_config.inc.php
cp -p /home/keyhelp/www/roundcube/plugins/password/config.inc.php pw_config.inc.php
# get roundcube 1.6.5
wget https://github.com/roundcube/roundcubemail/releases/download/1.6.5/roundcubemail-1.6.5-complete.tar.gz
tar zxf roundcubemail-1.6.5-complete.tar.gz
rm roundcubemail-1.6.5-complete.tar.gz
# set filepermissions
chown -R keyhelp:keyhelp roundcubemail-1.6.5
chmod -R g-w roundcubemail-1.6.5
# replace roundcube
rm -rf /home/keyhelp/www/roundcube/
mv roundcubemail-1.6.5 /home/keyhelp/www/roundcube
# restore changes from keyhelp
mv config.inc.php /home/keyhelp/www/roundcube/config/
mv keyhelp_sync_identities /home/keyhelp/www/roundcube/plugins/
mv ms_config.inc.php /home/keyhelp/www/roundcube/plugins/managesieve/config.inc.php
mv pw_config.inc.php /home/keyhelp/www/roundcube/plugins/password/config.inc.php

Grüße,
Lars