Zarafa <= 7.1.9 WebAccess speichert Passwörter im Klartext auf dem Server

gizmo21 · 01. Jul 2014

Beschreibung

Ein lokaler, nicht authentifizierter Angreifer kann die Schwachstelle zum Ausspähen von Benutzerdaten nutzen.
Schwachstellen
CVE-2014-0103: Zarafa's WebAccess speichert Passwörter im Klartext auf dem Server

Zarafa's WebAccess speichert Session Informationen, inklusive Login Credentials, im Klartext auf dem Server in PHP Session Dateien. In einer ungeteilten hosting Umgebung kann die Schwachstelle von einem lokalen, nicht authentifizierten Angreifer zum Ausspähen von Benutzerdaten genutzt werden.

https://bugzilla.redhat.com/show_bug.cgi?id=1073618

Robert Scheck reported that Zarafa's WebAccess stored session information, including login credentials, on-disk in PHP session files. This session file would contain a user's username and password to the Zarafa IMAP server.

If Zarafa WebAccess was run on a shared hosting site (multiple web sites on the same server), and an administrator of another server, with the ability to upload arbitrary scripts to the server, they could use this to obtain these IMAP credentials due to both sites being run by the same Apache user, and the PHP session files being owned by the same.

In a non-shared hosting environment, or one using something like SuEXEC, where the PHP session files are owned by individual users on a per-site basis, this would not be an issue. In that case, only a local user able to read these files (either as root or as the user running the Apache web server) would be able to view the credentials.

Anzeige · 01. Jul 2014

Hallo gizmo21,

Bücher und Hardware zum Thema gibt es bei Amazon: Zarafa <= 7.1.9 WebAccess speichert Passwörter im Klartext auf dem Server

Jdo2002 · 01. Jul 2014

Hi,

das CVE ist mir soweit bekannt.

Robert Scheck reported that Zarafa's WebAccess stored session information, including login credentials, on-disk in PHP session files. This session file would contain a user's username and password to the Zarafa IMAP server.

If Zarafa WebAccess was run on a shared hosting site (multiple web sites on the same server), and an administrator of another server, with the ability to upload arbitrary scripts to the server, they could use this to obtain these IMAP credentials due to both sites being run by the same Apache user, and the PHP session files being owned by the same.

In a non-shared hosting environment, or one using something like SuEXEC, where the PHP session files are owned by individual users on a per-site basis, this would not be an issue. In that case, only a local user able to read these files (either as root or as the user running the Apache web server) would be able to view the credentials.

Stand jetzt sehe ich das Risiko noch nicht ganz so hoch da wir auf den Synos ja keine shared hosting Umgebung haben.
WebApp 1.6 ist auch noch nicht verfügbar in der das gefixt wurde. Zarafa 7.1.10 schon, aber liegt noch nicht als SPK vor.

@Gizmo21: Ich kann nirgendwo entdecken das es auch über nicht authentifizierte User, sprich anonym möglich ist das auszulesen.

gizmo21 · 01. Jul 2014

Text ist copy/paste:
Der deutsche Teil des Textes stammt vom DFN-Cert: https://portal.cert.dfn.de/adv/DFN-CERT-2014-0845/
Die englische URL ist angegeben.

Sehe das Risiko auf den Synos auch nicht als groß an, wollte es aber weitergeben.
Schön dass "unser Zarafa Maintainer" auf dem Laufenden ist

- Danke Julian

Sloefke · 02. Jul 2014

Jdo2002 schrieb:
WebApp 1.6 ist auch noch nicht verfügbar in der das gefixt wurde. Zarafa 7.1.10 schon, aber liegt noch nicht als SPK vor.

Hi Julian,

May I ask what your plans are regarding WebApp 1.6 and Zarafa 7.1.10? Meaning, will you make it available and within which timeline?

Would it be possible to create a package in which one can choose if one wants to install only WebApp or WebAccess instead of both?

Kind regards,

Sloefke

Jdo2002 · 06. Jul 2014

Hi,

hier gibt es Zarafa 7.1.10 als SPK mit Webapp 1.6 beta2, erstmal experimental. Sobald ein finales Release der Webapp vorhanden ist werde ich das Paket aktualisieren. In dem SPK sollten die o.g. Sicherheitslücke behoben sein, wobei ich in dem Changelog zur Webapp 1.6 keinen Hinweis darauf finden konnte.

Sloefke · 07. Jul 2014

Hi Julian,

I already have it up-and-running. Thank so far. I will test it. In case of any defects, where can I post them?

Kind regards,

Sloefke

Sloefke · 11. Jul 2014

Jdo2002 schrieb:
Zarafa 7.1.10 als SPK mit Webapp 1.6 beta2

Hi Julian,

Up to now it works perfect. Even Webapp 1.6 beta2 works fine.

Kind regards,

Sloefke

Sloefke · 22. Jul 2014

Sloefke schrieb:
Even Webapp 1.6 beta2 works fine.

Hi Julian,

I have two remarks. Most probably it does not have to do with Zarafa running on Synology, but with Webapp itself.

1. It seems that when I take quite a lot of time to complete an e-mail message using the Webapp, Zarafa is not able to save and send the e-mail message. In that case I have to copy the content into a new e-mail message and send it.

2. Also, it seems that there is something wrong with the font type in a new e-mail message. Although I have Tahoma 10 points as default font type and size, when I start typing the font type and size is different.

Kind regards,

Sloefke

Suche

Zarafa <= 7.1.9 WebAccess speichert Passwörter im Klartext auf dem Server

gizmo21

Benutzer

Anzeige

Jdo2002

Benutzer

gizmo21

Benutzer

Sloefke

Benutzer

Jdo2002

Benutzer

Sloefke

Benutzer

Sloefke

Benutzer

Sloefke

Benutzer

Kaffeautomat