KeyHelp Community

Moin!

Achtung, derzeit gibt es eine Sicherheitslücke in Roundcube, die auch bereits aktiv ausgenutzt wird, siehe:

https://www.heise.de/news/Webmailer-Rou ... 43924.html

Wer also die Standardinstanz von keyhelp benutzt, sollte wachsam sein (und ggf. seine Benutzer informieren) bis ein Update kommt

Grüße,
Lars

Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen: https://github.com/roundcube/roundcubem ... ashtml.php

Oder als Einzeiler für die Konsole:
Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.

Danke für deinen Beitrag und für den Patch!

Sehe ich das richtig, das ohne Roundcube zu benutzen nichts passieren kann?

Edit: Naja, egal, den Einzeiler habe ich jetzt vorsichtshalber doch mal überall ausgeführt

l_fish wrote: ↑Wed 25. Oct 2023, 22:47 Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, ...

Danke dafür!

l_fish wrote: ↑Wed 25. Oct 2023, 22:47 Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen........

Danke fuer den Hinweis, Top!

Vielen Dank!

aber mal davon abgesehen, Roundcube ist ja ein Webbrowser basierender Email Client ...
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.

Ralph wrote: ↑Fri 27. Oct 2023, 08:11 aber mal davon abgesehen, Roundcube ist ja ein Webbrowser basierender Email Client ...
d.h. im Endeffekt liegt nicht nur bei Roundcube ein Problem, der Browser lässt ja letztendlich die Ausführung zu ob nun über Roundcube oder eine andere Website oder über welche Quelle auch immer die Malware abgerufen wird.

Ja, aber hier ist keine Userinteraktion nötig, im Sinne von "User muss bösen Mailanhang erst selbst öffnen, damit sein Rechner infiziert wird. Ich zitiere mal aus dem Heise-Artikel

Mit manipulierten HTML-E-Mails können Angreifer dadurch beliebigen Javascript-Code laden und im Nutzerkontext ausführen

Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.

l_fish wrote: ↑Fri 27. Oct 2023, 08:40 Das passiert dann also direkt beim Öffnen der Email, ohne dass der Benutzer es groß bemerkt (sofern keine Antivirenlösung anschlägt). Außerdem lässt sich mit JS im Nutzerkontext auch noch anderes anstellen, so wäre es vielleicht möglich, die Mails des Users abzurufen oder in seinem Namen zu versenden usw.

Genau das will ich ja damit sagen, der Schadcode kann überall eingebettet werden auch in Websites die im Hintergrund den Kram laden, ich denke da gerade z.b. an hundettausende Wordpress Sites die täglich kompromittiert werden, da wird der Besucher und WP Admin auch nichts von mitbekommen genau wie im RC.

Natürlich sollte man Roundcube jetzt sofort absichern, somit wird die Verteilung zumindest via RC reduziert, aber ohne Webbrowser kein Roundcube und mit dem Security Patch von RC wird die weitere Verbreitung dieser Malware nicht gestoppt (ist nur ein Tropfen auf den heißen Stein) dieses Problem muß also vorallem im Webbrowser selbst behoben werden.

Ralph wrote: ↑Fri 27. Oct 2023, 09:02 dieses Problem muß also vorallem im Webbrowser selbst behoben werden.

Fragt sich nur wie Wenn ein PHP-Script dem Browser JS-Code im Benutzerkontext liefert, vertraut dieser dem zunächst. Es sei denn, es ist bekannte Malware, dann greift ggf. ein Virenscanner ein (sowas könnten die Browser natürlich ggf. auch mal selbst prüfen). Wenn der Code aber unverdächtig aussieht und einfach nur ein paar Ajax-Requests macht, um z.B. sich in Roundcube die Liste der Mails zu holen und die dann weiterleiten zu lassen auf ein anderes Mailkonto oder sonst wo hin, dann lässt der Browser das halt zu.

Alternative wäre ja entweder JS im Benutzerkontext (und damit komplett JS) zu verbieten, dann funktionieren 99% des aktuellen Internets nicht mehr oder noch deutlich komplexere Erkennungsalgorithmen für "schädliches" Verhalten, was aber sicher zu reichlich Kollateralschäden führen würde und Datenschutztechnisch auch nicht gerade toll wäre (Browser sendet Websieteninhalt erstmal komplett an Browser-Hersteller oder dessen genutzter "KI" zur Analyse...)

Schwieriges Thema halt

l_fish wrote: ↑Fri 27. Oct 2023, 10:46 Schwieriges Thema halt

Bleibt trotzdem eine Browserbasierende Aktion, wie bei fast allen Traps die auch in Grafiken oder über Videos, html, php, js usw. eingeschleust und ausgeführt werden ...

l_fish wrote: ↑Wed 25. Oct 2023, 22:47 Nachtrag: Wer sofort patchen möchte und Keyhelp 23.2 mit Roundcube 1.6.3 am laufen hat, kann die betroffene Datei auch direkt mit der gepatchten Version aus 1.6.4 austauschen: https://github.com/roundcube/roundcubem ... ashtml.php

Oder als Einzeiler für die Konsole:

Code: Select all

wget https://raw.githubusercontent.com/roundcube/roundcubemail/1.6.4/program/lib/Roundcube/rcube_washtml.php -O /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ; chown keyhelp:keyhelp /home/keyhelp/www/roundcube/program/lib/Roundcube/rcube_washtml.php ;

Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.

Danke für den Patch!

SaLiVeR wrote: ↑Fri 27. Oct 2023, 18:27 Für ältere Versionen von Roundcube mag das auch gehen, da sollte man aber lieber vorab mit einem diff schauen, ob das kompatibel ist.

Bei KH ging das ja noch relativ flott, bin seit 4 Tagen die alten imscp Kisten mit der RC 1.4.15 (letztes Upgrade für 1.4.x) von Hand am aktualisieren, ist Mega nervig und zeitaufwendig
Die sollen alle übern Winter auf KH migriert werden ...

Betrifft übrigens nicht nur Roundcube, da ist momentan einiges im Gange diesbezgl:
FF & TB:
https://www.mozilla.org/en-US/security/ ... sa2023-40/

https://www.mozilla.org/en-US/security/ ... underbird/

Browser:
https://www.uni-giessen.de/de/fbz/svc/h ... -2023-4863

Von Microsoft hört man kaum etwas, die sind eh duarsch weil die ganze Base da bereits komplett kompromittiert wurde

Google empfiehlt ja nuh auch explizit die Nutzung von modernen Grafikformaten SVG, WebP ... Prost Mahlzeit!

Ralph wrote: ↑Fri 27. Oct 2023, 19:47 Die sollen alle übern Winter auf KH migriert werden ...

Warum ziehst du die dann nicht direkt um...? Dann hättest du im Winter Ruhe...