Sicherheitslücke in ‘Horde’
In der bekannten und bliebten Webanwendung “Horde” gibt es in den Versionen 3.3.12 (Webmail) und 1.2.10 (Groupware) eine durch Angreifer platzierte “Backdoor”. Details z.B. heise.de. Auch wir nutzen Horde für eines unsere beiden Webmail-Angebote, welches für unsere Kunden je nach Bedarf und persönlicher Präferenz die beiden Optionen “Horde” und “Roundcube” bereitstellt.
Daher möchten wir hiermit Entwarnung geben: Die von uns unter webmail.df.eu verwendete Horde-Version ist nicht verwundbar, da wir diese nicht über den betroffenen FTP-Server sondern von dem nicht infiltrierten GIT-Server bezogen haben und zudem eine andere Version nutzen. Bei individuell von Kunden vorgenommenen Installationen sollte hingegen unbedingt überprüft werden, ob die Quelldateien zwischen November 2011 und dem 7. Februar 2012 von dem offiziellen FTP-Server heruntergeladen worden und somit “infiziert” sind.
Tipp: Zwar keinen Schutz vor Sicherheitslücken in Anwendungen aber erhöhte Sicherheit für andere Daten auf dem Webspace bietet der von uns angebotene Verzeichnisschutz. Damit wird ein Skript und somit auch ein möglicher Angreifer innerhalb eines bestimmten Ordners “eingesperrt” und kann nicht einfach auf z.B. in anderen Verzeichnisbäumen gespeicherte Daten und Anwendungen zugreifen. Details hierzu finden Sie in unseren FAQ: http://www.df.eu/de/service/df-faq/technische-faq/quotas/
Trackbacklink · RSS-Feed der Artikelkommentare: RSS 2.0
Veröffentlicht in Allgemein · Schlagworte: Horde, Sicherheitslücke
Der Verzeichnisschutz ist echt eine pfiffige Lösung und schützt die eigene Website. Davon sollten sich andere Anbieter auch mal eine Scheibe abschneiden!
Wird der Verzeichnisschutz bei euch häufig genutzt oder nutzen den nur Anwender die ohnehin ihre Software regelmäßig updaten?
@Peter: Der Verzeichnisschutz wird durchaus häufig genutzt und hat sicher schon oft Kunden vor Schlimmeren bewahrt. Er wird auch an möglichst vielen Stellen immer wieder empfohlen
Genau genommen sind Quotas die einzige Möglichkeit überhaupt mehrere Internetseiten auf einem Server zu hosten und als Admin Nachts trotzdem zu schlafen
“Verzeichnisbegrenzungen mittels Quotas stehen in allen Pakten der folgenden Produktlinien zur Verfügung:”
Quelle: http://www.df.eu/de/service/df-faq/technische-faq/quotas/
In “Pakten” fehlt, denke ich, ein “e”, es sei denn es geht um einen Pakt, aber dann wäre die Mehrzahl Päkte und der Satz würde inhaltlich keinen Sinn mehr ergeben
Weiters wollte ich anmerken, dass man das CHMOD-Tutorial als Interessent ohne Foren-account nicht ansteuern kann.
https://www.df.eu/forum/threads/11321-Tutorial-File-Permission?s=
Man wird aufgefordert sich einzuloggen. Ist das Absicht?
Ich frage weil das Oberforum “Allgemeines für Kunden und Interessenten” heißt und ein Interessent womöglich keinen Account hat.
@Anonymous: Der Fehler in der FAQ wird korrigiert und über die Zugriffsrechte des Forums in einigen Stunden diskutiert. Rückmeldung folgt dann