KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Sicherheitslücke Roundcube

https://community.keyhelp.de/viewtopic.php?t=12749

Page 2 of 3

Re: Sicherheitslücke Roundcube

Posted: Fri 27. Oct 2023, 20:23
by Ralph
Jolinar wrote: Fri 27. Oct 2023, 19:59 Warum ziehst du die dann nicht direkt um...? Dann hättest du im Winter Ruhe... ;) :D :lol:
würde ich ja gerne, ist nur zu viel um auf die Schnelle zu migrieren, aber wenn ich die Roundcubes mal geflickt habe, komme ich endlich wieder weiter damit (hoffentlich) :mrgreen:
L.G.

Re: Sicherheitslücke Roundcube

Posted: Fri 27. Oct 2023, 20:26
by Jolinar
Ralph wrote: Fri 27. Oct 2023, 20:23 würde ich ja gerne, ist nur zu viel um auf die Schnelle zu migrieren
Jajaja...Die Leiden eines Administrators :mrgreen: :geek: :ugeek:

Re: Sicherheitslücke Roundcube

Posted: Fri 27. Oct 2023, 20:27
by Jolinar
BTT! :roll:

Re: Sicherheitslücke Roundcube  [GELÖST]

Posted: Mon 30. Oct 2023, 12:11
by Alexander
-> Fixed mit KeyHelp 23.2.1 und Roundcube 1.6.4.

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 19:46
by Ralph
und auf ein neues ...
https://roundcube.net/news/2023/11/05/s ... -and-1.5.6

jetzt wird es langsam massiv nervig, habe erst 5 Tage lang die Mist Software aktualisiert ... überlege mir ob ich die auf den alten Systemen einfach erstmal deaktiviere, so schnell geht das jetz gar nicht ...
darf ja wohl nisch wahr sein :oops:

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 20:03
by Jolinar
Ralph wrote: Sun 5. Nov 2023, 19:46 jetzt wird es langsam massiv nervig, habe erst 5 Tage lang die Mist Software aktualisiert ... überlege mir ob ich die auf den alten Systemen einfach erstmal deaktiviere, so schnell geht das jetz nicht ...
Also das ist aber jetzt "Jammern auf hohem Niveau..." :shock:

Der letzte Patch war ein Einzeiler am CLI...also mit Terminal öffnen, Kommando einfügen, ausführen und Terminal wieder schließen sicher in unter 1 Minute zu exekutieren...Wieviele Maschinen mußtest du denn da patchen, daß du 5 Tage dafür gebraucht hast...? :? :lol:

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 20:07
by Ralph
Jolinar wrote: Sun 5. Nov 2023, 20:03 Wieviele Maschinen mußtest du denn da patchen, daß du 5 Tage dafür gebraucht hast...? :? :lol:
ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 20:11
by l_fish
Ralph wrote: Sun 5. Nov 2023, 20:07 ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....
Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können :)

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 20:15
by Ralph
l_fish wrote: Sun 5. Nov 2023, 20:11
Ralph wrote: Sun 5. Nov 2023, 20:07 ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....
Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können :)
klar, ich hab ja gerade auch sehr viel Zeit darüber nachzudenken ... bevor ich die Probleme lösen kann :lol:
55 Stück davon sind Kunden VPS (KVM)

Re: Sicherheitslücke Roundcube

Posted: Sun 5. Nov 2023, 20:17
by Jolinar
Ralph wrote: Sun 5. Nov 2023, 20:07 ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....
Am Beispiel des letzten Patches...1-2 Minuten Arbeit für das Script (Da müssen natürlich noch die echten Serverdaten rein^^):

Code: Select all

#!/bin/bash

# Liste der Server-IP-Adressen oder Hostnamen
servers=("server1" "server2" "server3" ... "server50")

# Schleife zum Ausführen des Befehls auf jedem Server
for server in "${servers[@]}"; do
    echo "Verbinde mit $server und führe den Befehl aus..."
    ssh user@$server 'wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php'
    echo "Befehl auf $server ausgeführt."
done
Warum habt ihr nur alle so eine Angst vor dem CLI :lol: :lol: :lol:

Re: Sicherheitslücke Roundcube

Posted: Mon 6. Nov 2023, 00:26
by 24unix
Ralph wrote: Sun 5. Nov 2023, 20:15
l_fish wrote: Sun 5. Nov 2023, 20:11
Ralph wrote: Sun 5. Nov 2023, 20:07 ca. 60 RC Updates in 5 Tagen, das mache ich jetzt mit Sicherheit nicht sofort nochmal, eher schalte ich die RC Luschen ab ....
Bei so vielen Installationen würde ich mal über die Nutzung von z.B. ansible nachdenken, damit hättest du den Cli Einzeiler dann auch mit einem Einzeiler auf die 60 Instanzen loslassen können :)
klar, ich hab ja gerade auch sehr viel Zeit darüber nachzudenken ... bevor ich die Probleme lösen kann :lol:
55 Stück davon sind Kunden VPS (KVM)
Also wenn ich 55 Kundenserver hätte, hätte ich das schon lange mit Playbooks erledigt.

Wenn Dir ein paar USD nicht wehtun, Du etwas Zeit hast, und Englisch kannst:

https://symfonycasts.com/screencast/ansible

Ich fand es sehr hilfreich, konnte mir so aussuchen, ob ich nen Jobs als Dev oder DevOps nehme :-)

Re: Sicherheitslücke Roundcube

Posted: Mon 6. Nov 2023, 02:21
by Fezzi
Gibt es denn schon einen Patch um nicht gleich einen kompletten Versions Update durchfuehren zu muessen?

Re: Sicherheitslücke Roundcube

Posted: Mon 6. Nov 2023, 07:12
by Ralph
Jolinar wrote: Sun 5. Nov 2023, 20:17 Am Beispiel des letzten Patches...1-2 Minuten Arbeit für das Script (Da müssen natürlich noch die echten Serverdaten rein^^):

Code: Select all

#!/bin/bash

# Liste der Server-IP-Adressen oder Hostnamen
servers=("server1" "server2" "server3" ... "server50")

# Schleife zum Ausführen des Befehls auf jedem Server
for server in "${servers[@]}"; do
    echo "Verbinde mit $server und führe den Befehl aus..."
    ssh user@$server 'wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php'
    echo "Befehl auf $server ausgeführt."
done
24unix wrote: Mon 6. Nov 2023, 00:26 Wenn Dir ein paar USD nicht wehtun, Du etwas Zeit hast, und Englisch kannst:
https://symfonycasts.com/screencast/ansible
Ich fand es sehr hilfreich, konnte mir so aussuchen, ob ich nen Jobs als Dev oder DevOps nehme :-)
Danke für eure Tipps, ich schaue es mir an sobald ich Zeit finde (demnächst), genauso geht es mir gerade mit den geplanten shared host Migrationen ... wieder verschoben :mrgreen:
Bei den VPS RC Updates mußte ich alles in Handarbeit aktualisieren, da gab es noch einige wo die configs geändert werden mussten und einige Plugins deinstalliert und aktualisiert werden mussten, hat dementsprechend lange gedauert.
Aber wie auch immer, was momentan bei OS & Software Updates incl. Smartphones abgeht, ist beängstigend, da wird auch richtig viel Energie verbraten nebst Zeitaufwand ... und Nerven :lol:

Re: Sicherheitslücke Roundcube

Posted: Mon 6. Nov 2023, 10:54
by Ralph
@Alexander
Ich kann jetzt Deine Entscheidung (Bedenken) bezgl. zusätzlicher Roundcube Third Party Plugins sehr gut nachvollziehen.
Ich bereue es jetzt bei den RC Upgrades von meinen alten Systmen ... muß man nicht wirklich haben :lol:

Re: Sicherheitslücke Roundcube

Posted: Tue 7. Nov 2023, 10:54
by l_fish
Hier ein neues Patch-Script für das Update von roundcube 1.6.4 auf 1.6.5.

Da es hier deutlich mehr geänderte Dateien gab, habe ich den Patch dieses mal "anders herum" umgesetzt (was auch für künftige Updates eher sinnvoll wäre), d.h. ich kopiere erst die Änderungen weg, die keyhelp an der Version 1.6.4 vorgenommen hat (sind derzeit nur hinzugefügte Dateien und geänderte Dateirechte), spiele dann Version 1.6.5 ein und schiebe die Dateien aus keyhelp wieder dort herein.

Schnell runter geschrieben und daher sicher nicht optimiert, aber erfolgreich getestet auf zwei Instanzen. Trotzdem alles ohne Gewähr, versteht sich:

Code: Select all

# backup changes from keyhelp
cp -p /home/keyhelp/www/roundcube/config/config.inc.php config.inc.php
cp -rp /home/keyhelp/www/roundcube/plugins/keyhelp_sync_identities .
cp -p /home/keyhelp/www/roundcube/plugins/managesieve/config.inc.php ms_config.inc.php
cp -p /home/keyhelp/www/roundcube/plugins/password/config.inc.php pw_config.inc.php
# get roundcube 1.6.5
wget https://github.com/roundcube/roundcubemail/releases/download/1.6.5/roundcubemail-1.6.5-complete.tar.gz
tar zxf roundcubemail-1.6.5-complete.tar.gz
rm roundcubemail-1.6.5-complete.tar.gz
# set filepermissions
chown -R keyhelp:keyhelp roundcubemail-1.6.5
chmod -R g-w roundcubemail-1.6.5
# replace roundcube
rm -rf /home/keyhelp/www/roundcube/
mv roundcubemail-1.6.5 /home/keyhelp/www/roundcube
# restore changes from keyhelp
mv config.inc.php /home/keyhelp/www/roundcube/config/
mv keyhelp_sync_identities /home/keyhelp/www/roundcube/plugins/
mv ms_config.inc.php /home/keyhelp/www/roundcube/plugins/managesieve/config.inc.php
mv pw_config.inc.php /home/keyhelp/www/roundcube/plugins/password/config.inc.php
Grüße,
Lars
All times are UTC+02:00
Page 2 of 3

Powered by phpBB® Forum Software © phpBB Limited