Sicherheitslücke Roundcube [GELÖST]
Sicherheitslücke Roundcube
Moin!
Achtung, derzeit gibt es eine Sicherheitslücke in Roundcube, die auch bereits aktiv ausgenutzt wird, siehe:
https://www.heise.de/news/Webmailer-Rou ... 43924.html
Wer also die Standardinstanz von keyhelp benutzt, sollte wachsam sein (und ggf. seine Benutzer informieren) bis ein Update kommt
Grüße,
Lars
Achtung, derzeit gibt es eine Sicherheitslücke in Roundcube, die auch bereits aktiv ausgenutzt wird, siehe:
https://www.heise.de/news/Webmailer-Rou ... 43924.html
Wer also die Standardinstanz von keyhelp benutzt, sollte wachsam sein (und ggf. seine Benutzer informieren) bis ein Update kommt
Grüße,
Lars
Re: Sicherheitslücke Roundcube
Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen: https://github.com/roundcube/roundcubem ... ashtml.php
Oder als Einzeiler für die Konsole:
Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.
Oder als Einzeiler für die Konsole:
Code: Select all
wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ;
- Jolinar
- Community Moderator
- Posts: 3611
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Sicherheitslücke Roundcube
Danke für deinen Beitrag und für den Patch!
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Sicherheitslücke Roundcube
Sehe ich das richtig, das ohne Roundcube zu benutzen nichts passieren kann?
Edit: Naja, egal, den Einzeiler habe ich jetzt vorsichtshalber doch mal überall ausgeführt
Edit: Naja, egal, den Einzeiler habe ich jetzt vorsichtshalber doch mal überall ausgeführt
-
- Posts: 19
- Joined: Tue 24. Aug 2021, 22:34
Re: Sicherheitslücke Roundcube
Danke fuer den Hinweis, Top!
Gruss
Fezzi
Everyone can do something, no one can do everything.
Fezzi
Everyone can do something, no one can do everything.
Re: Sicherheitslücke Roundcube
Vielen Dank!
Re: Sicherheitslücke Roundcube
aber mal davon abgesehen, Roundcube ist ja ein Webbrowser basierender Email Client ...
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.
Re: Sicherheitslücke Roundcube
Ja, aber hier ist keine Userinteraktion nötig, im Sinne von "User muss bösen Mailanhang erst selbst öffnen, damit sein Rechner infiziert wird. Ich zitiere mal aus dem Heise-ArtikelRalph wrote: ↑Fri 27. Oct 2023, 08:11 aber mal davon abgesehen, Roundcube ist ja ein Webbrowser basierender Email Client ...
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.
Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.Mit manipulierten HTML-E-Mails können Angreifer dadurch beliebigen Javascript-Code laden und im Nutzerkontext ausführen
Re: Sicherheitslücke Roundcube
Genau das will ich ja damit sagen, der Schadcode kann überall eingebettet werden auch in Websites die im Hintergrund den Kram laden, ich denke da gerade z.b. an hundettausende Wordpress Sites die täglich kompromittiert werden, da wird der Besucher und WP Admin auch nichts von mitbekommen genau wie im RC.l_fish wrote: ↑Fri 27. Oct 2023, 08:40 Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.
Natürlich sollte man Roundcube jetzt sofort absichern, somit wird die Verteilung zumindest via RC reduziert, aber ohne Webbrowser kein Roundcube und mit dem Security Patch von RC wird die weitere Verbreitung dieser Malware nicht gestoppt (ist nur ein Tropfen auf den heißen Stein) dieses Problem muß also vorallem im Webbrowser selbst behoben werden.
Re: Sicherheitslücke Roundcube
Fragt sich nur wie Wenn ein PHP-Script dem Browser JS-Code im Benutzerkontext liefert, vertraut dieser dem zunächst. Es sei denn, es ist bekannte Malware, dann greift ggf. ein Virenscanner ein (sowas könnten die Browser natürlich ggf. auch mal selbst prüfen). Wenn der Code aber unverdächtig aussieht und einfach nur ein paar Ajax-Requests macht, um z.B. sich in Roundcube die Liste der Mails zu holen und die dann weiterleiten zu lassen auf ein anderes Mailkonto oder sonst wo hin, dann lässt der Browser das halt zu.
Alternative wäre ja entweder JS im Benutzerkontext (und damit komplett JS) zu verbieten, dann funktionieren 99% des aktuellen Internets nicht mehr oder noch deutlich komplexere Erkennungsalgorithmen für "schädliches" Verhalten, was aber sicher zu reichlich Kollateralschäden führen würde und Datenschutztechnisch auch nicht gerade toll wäre (Browser sendet Websieteninhalt erstmal komplett an Browser-Hersteller oder dessen genutzter "KI" zur Analyse...)
Schwieriges Thema halt
Re: Sicherheitslücke Roundcube
Danke für den Patch!l_fish wrote: ↑Wed 25. Oct 2023, 22:47 Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen: https://github.com/roundcube/roundcubem ... ashtml.php
Oder als Einzeiler für die Konsole:
Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.Code: Select all
wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ;
Re: Sicherheitslücke Roundcube
Bei KH ging das ja noch relativ flott, bin seit 4 Tagen die alten imscp Kisten mit der RC 1.4.15 (letztes Upgrade für 1.4.x) von Hand am aktualisieren, ist Mega nervig und zeitaufwendig
Die sollen alle übern Winter auf KH migriert werden ...
Betrifft übrigens nicht nur Roundcube, da ist momentan einiges im Gange diesbezgl:
FF & TB:
https://www.mozilla.org/en-US/security/ ... sa2023-40/
https://www.mozilla.org/en-US/security/ ... underbird/
Browser:
https://www.uni-giessen.de/de/fbz/svc/h ... -2023-4863
Von Microsoft hört man kaum etwas, die sind eh duarsch weil die ganze Base da bereits komplett kompromittiert wurde
Google empfiehlt ja nuh auch explizit die Nutzung von modernen Grafikformaten SVG, WebP ... Prost Mahlzeit!
- Jolinar
- Community Moderator
- Posts: 3611
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Sicherheitslücke Roundcube
Warum ziehst du die dann nicht direkt um...? Dann hättest du im Winter Ruhe...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views