Toggle sidebar

Roundcube: ACHTUNG, kritische Lücke!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Frogman

Frogman

Benutzer
Registriert
01. Sep. 2012
Beiträge
17.485
Reaktionspunkte
9
Punkte
414
Es wird hier sicher nicht wenige geben, die Roundcube in der originären Form oder aber in der von Synology umgelabelten Variante "Mail Station" verwenden.
In allen Versionen kleiner als 1.2.3 gibt es eine kritische Lücke. Es empfiehlt sich daher auf die aktuelle sichere Version 1.2.3 zu aktualisieren (die auch einige andere Lücken behebt) oder aber - bspw. bis Synology hier reagiert - Roundcube/Mail Station zu deaktivieren.

Quelle
 
Zuletzt bearbeitet:
Soweit ich verstanden habe ist die Lücke so zu verstehen das ein Angreifer einen Account haben muss damit er einbrechen, bez einen anderen Account übernehmen kann.

Grus Dany
 
Außerdem muss PHP "safe_mode" OFF sein. Ist glaube ich bei Synology default auf ON?
Und es muß über sendmail gehen. Soweit ich weiß nutzt Synology Postfix?
 
Über die Konfig der Web Station kann ich gerade nicht viel sagen, weil ich sie nicht nutze - Roundcube als separate Installation ich da eher der Fokus, und da geht's dann mitunter schon um die beschriebenen Fälle.
dany schrieb:
Soweit ich verstanden habe ist die Lücke so zu verstehen das ein Angreifer einen Account haben muss damit er einbrechen, bez einen anderen Account übernehmen kann.
Zum Vergrößern anklicken....
Es muss eine email über Roundcube verschickt werden, korrekt. Wer aber ein System für größere Userkreise betreibt (in der bspw. nicht nur "gute Freunde" sitzen), möchte auch in dieser Konstellation wohl kaum, dass sich darüber jemand unerlaubt den vollen Serverzugriff verschafft.
 
Servus Miteinand'

- also standardmäßig: ist safe_mode auf OFF
----------------------------------------------------------------------------
Meine Frage:
- wo finde ich ob ich sendmail gehe?
- wie update ich jetzt mein roundcube auf der synology (DSM 6.0.2-8451)
----------------------------------------------------------------------------

Für den schnellen Tipp wäre ich sehr dankbar!
 
@Frogman

Danke für die Info - dann werde ich dies mal zügig nachziehen
 
Servus zusammen,

ich möchte diesen Fred nochmal aufgreifen, da bei mir auch das regulär mit der Mailstation installierte Roundcube am Werkeln ist und es sich hierbei noch um die Version 1.1.2 handelt.
Ich bin auch noch auf DSM 5.2 und hätte in näherer Zukunft nicht unbedingt geplant auf DSM 6.0 zu wechseln.

Kurz und knapp gefragt:
Kann ich die aktuelle Roundcubeversion einfach "drüber"-Installieren, auch wenn ich die vorher nicht "von Hand" installiert hatte?
Wird die aktuelle Version beibehalten bei Sicherheitsupdates vom DSM?
Wenn es mal ein Update für die Mailstation geben sollte, würde das "von Hand" Update dann Probleme machen?

Der .txt-File von der aktuellen Roundcube-Version nach zu urteilen ist das Update ja eigentlich kein Hexenwerk, wenn man schon eine laufende Version hat...

Habt ihr alle die reguläre Mailstation-Version von Roundcube drauf gehabt und geupdatet?

Ihr merkt, ich bin weng ängstlich, wenn es an das drüberbügeln von vorinstallierten Paketen geht...
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten