KeyHelp Community
Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
Code: Select all
wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ;
Danke fuer den Hinweis, Top!
Ja, aber hier ist keine Userinteraktion nötig, im Sinne von "User muss bösen Mailanhang erst selbst öffnen, damit sein Rechner infiziert wird. Ich zitiere mal aus dem Heise-ArtikelRalph wrote: ↑Fri 27. Oct 2023, 08:11 aber mal davon abgesehen, Roundcube ist ja ein Webbrowser basierender Email Client ...
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.
Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.Mit manipulierten HTML-E-Mails können Angreifer dadurch beliebigen Javascript-Code laden und im Nutzerkontext ausführen
Genau das will ich ja damit sagen, der Schadcode kann überall eingebettet werden auch in Websites die im Hintergrund den Kram laden, ich denke da gerade z.b. an hundettausende Wordpress Sites die täglich kompromittiert werden, da wird der Besucher und WP Admin auch nichts von mitbekommen genau wie im RC.l_fish wrote: ↑Fri 27. Oct 2023, 08:40 Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.
Fragt sich nur wie
Wenn ein PHP-Script dem Browser JS-Code im Benutzerkontext liefert, vertraut dieser dem zunächst. Es sei denn, es ist bekannte Malware, dann greift ggf. ein Virenscanner ein (sowas könnten die Browser natürlich ggf. auch mal selbst prüfen). Wenn der Code aber unverdächtig aussieht und einfach nur ein paar Ajax-Requests macht, um z.B. sich in Roundcube die Liste der Mails zu holen und die dann weiterleiten zu lassen auf ein anderes Mailkonto oder sonst wo hin, dann lässt der Browser das halt zu. oder noch deutlich komplexere Erkennungsalgorithmen für "schädliches" Verhalten, was aber sicher zu reichlich Kollateralschäden führen würde und Datenschutztechnisch auch nicht gerade toll wäre (Browser sendet Websieteninhalt erstmal komplett an Browser-Hersteller oder dessen genutzter "KI" zur Analyse...)Danke für den Patch!l_fish wrote: ↑Wed 25. Oct 2023, 22:47 Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen: https://github.com/roundcube/roundcubem ... ashtml.php
Oder als Einzeiler für die Konsole:
Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.Code: Select all
wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ;
Bei KH ging das ja noch relativ flott, bin seit 4 Tagen die alten imscp Kisten mit der RC 1.4.15 (letztes Upgrade für 1.4.x) von Hand am aktualisieren, ist Mega nervig und zeitaufwendig
Warum ziehst du die dann nicht direkt um...? Dann hättest du im Winter Ruhe...
