Roundcube: ACHTUNG, kritische Lücke!

Frogman · 08. Dez 2016

Es wird hier sicher nicht wenige geben, die Roundcube in der originären Form oder aber in der von Synology umgelabelten Variante "Mail Station" verwenden.
In allen Versionen kleiner als 1.2.3 gibt es eine kritische Lücke. Es empfiehlt sich daher auf die aktuelle sichere Version 1.2.3 zu aktualisieren (die auch einige andere Lücken behebt) oder aber - bspw. bis Synology hier reagiert - Roundcube/Mail Station zu deaktivieren.

Quelle

Anzeige · 08. Dez 2016

Hallo Frogman,

Bücher und Hardware zum Thema gibt es bei Amazon: Roundcube: ACHTUNG, kritische Lücke!

dany · 09. Dez 2016

Soweit ich verstanden habe ist die Lücke so zu verstehen das ein Angreifer einen Account haben muss damit er einbrechen, bez einen anderen Account übernehmen kann.

Grus Dany

Andy14 · 09. Dez 2016

Außerdem muss PHP "safe_mode" OFF sein. Ist glaube ich bei Synology default auf ON?
Und es muß über sendmail gehen. Soweit ich weiß nutzt Synology Postfix?

Frogman · 09. Dez 2016

Über die Konfig der Web Station kann ich gerade nicht viel sagen, weil ich sie nicht nutze - Roundcube als separate Installation ich da eher der Fokus, und da geht's dann mitunter schon um die beschriebenen Fälle.

dany schrieb:
Soweit ich verstanden habe ist die Lücke so zu verstehen das ein Angreifer einen Account haben muss damit er einbrechen, bez einen anderen Account übernehmen kann.

Es muss eine email über Roundcube verschickt werden, korrekt. Wer aber ein System für größere Userkreise betreibt (in der bspw. nicht nur "gute Freunde" sitzen), möchte auch in dieser Konstellation wohl kaum, dass sich darüber jemand unerlaubt den vollen Serverzugriff verschafft.

Vertiefer · 09. Dez 2016

Servus Miteinand'

- also standardmäßig: ist safe_mode auf OFF
----------------------------------------------------------------------------
Meine Frage:
- wo finde ich ob ich sendmail gehe?
- wie update ich jetzt mein roundcube auf der synology (DSM 6.0.2-8451)
----------------------------------------------------------------------------

Für den schnellen Tipp wäre ich sehr dankbar!

Frogman · 09. Dez 2016

Vertiefer schrieb:
- wie update ich jetzt mein roundcube auf der synology (DSM 6.0.2-8451)

Hier das komplette Paket herunterladen, auf der DS entpacken und gemäß den Anweisungen im File 'Upgrading' aktualisieren.

Vertiefer · 09. Dez 2016

@Frogman

Danke für die Info - dann werde ich dies mal zügig nachziehen

Brathorst · 26. Jan 2017

Servus zusammen,

ich möchte diesen Fred nochmal aufgreifen, da bei mir auch das regulär mit der Mailstation installierte Roundcube am Werkeln ist und es sich hierbei noch um die Version 1.1.2 handelt.
Ich bin auch noch auf DSM 5.2 und hätte in näherer Zukunft nicht unbedingt geplant auf DSM 6.0 zu wechseln.

Kurz und knapp gefragt:
Kann ich die aktuelle Roundcubeversion einfach "drüber"-Installieren, auch wenn ich die vorher nicht "von Hand" installiert hatte?
Wird die aktuelle Version beibehalten bei Sicherheitsupdates vom DSM?
Wenn es mal ein Update für die Mailstation geben sollte, würde das "von Hand" Update dann Probleme machen?

Der .txt-File von der aktuellen Roundcube-Version nach zu urteilen ist das Update ja eigentlich kein Hexenwerk, wenn man schon eine laufende Version hat...

Habt ihr alle die reguläre Mailstation-Version von Roundcube drauf gehabt und geupdatet?

Ihr merkt, ich bin weng ängstlich, wenn es an das drüberbügeln von vorinstallierten Paketen geht...

Suche

Roundcube: ACHTUNG, kritische Lücke!

Frogman

Benutzer

Anzeige

dany

Benutzer

Andy14

Benutzer

Frogman

Benutzer

Vertiefer

Benutzer

Frogman

Benutzer

Vertiefer

Benutzer

Brathorst

Benutzer

Kaffeautomat