Em meados de julho de 2023 foram descobertas duas kritische Sicherheitslücken em Benno MailArchiv.
Um problema afeta uma XSS-Lücke (Cross Site Scripting), o outro é uma XSRF-Lücke (Cross-Site Request Forgery).

Para as duas vulnerabilidades de segurança, foram atribuídos números CVE:

  • CVE-2023-38347 (para a vulnerabilidade de XSS)
  • CVE-2023-38348 (para a vulnerabilidade XSRF)

Solução:

Por favor, atualize sua instalação do Benno MailArchiv em breve para a versão mais recente! Através da instalação dos pacotes benno-web (Version 2.10.2) e benno-rest (Version 2.10.1) serão atualizados os dois componentes relevantes. As duas kritischen Sicherheitslücken são corrigidas nele.

Nota importante sobre a atualização:

A atualização exige diretamente a partir da instalação o uso de HTTPS (also SSL-verschlüsseltem http) für a WebApp! 
Depois da atualização, há um Login na Benno WebApp apenas via HTTPS möglich!

Ainda existe a Möglichkeit, o Login für HTTP (unverschlüsselt) ser usado. No entanto, isso deve ser ativado especificamente. Neste artigo no Benno Wiki, a ativação do Plaintext HTML Login erläutert: https://wiki.benno-mailarchiv.de/doku.php/http_plaintext_access

ATENÇÃO – IMPORTANTE:
A falha XSS só será efetiva ao usar HTTPS efetiva corrigida!
Se a instalação for alterada manualmente para login HTML em texto simples, como descrito acima, a vulnerabilidade de segurança XSS permanecerá efetiva e o servidor ficará novamente vulnerável à vulnerabilidade de segurança!

Mais informações sobre as duas vulnerabilidades críticas de segurança:

Sobre CVE-2023-38347 (falha XSS):
A Benno WebApp exibe e‑mails na interface web sem filtragem. Antes da exibição de código HTML, ele não é analisado quanto a código JavaScript malicioso etc., nem é filtrado.
Se um e‑mail arquivado contém um código JavaScript malicioso direcionado e este e‑mail é exibido por um usuário na Benno WebApp, o código JavaScript pode acessar o cookie de sessão, lê‑lo e transmitir as informações ao atacante. Um atacante poderia, por exemplo, exfiltrar os dados de acesso do Benno MailArchiv do usuário afetado e obter acesso ao arquivo de e‑mail (na medida em que está acessível via Internet). Também seria possível, por esse caminho, alterar a senha do usuário logado na Benno WebApp. (Esta vetor de ataque está limitado à duração do cookie de sessão. Encerrar o navegador da vítima invalida o cookie de sessão).
No pacote benno-web, o tratamento de cookies foi alterado mediante a extensão do modo httponly e o uso de cookies seguros. Foi adicionado um token CSRF aos formulários no benno-web. Com isso, o servidor web pode agora determinar se o envio de um formulário foi feito por um usuário legítimo através do navegador do usuário ou não. Com a versão atualizada do benno-web e benno-rest, esta falha de segurança XSS é corrigida. Antes da exibição de e‑mails formatados em HTML, o código JavaScript agora é removido dentro do benno-rest.

Sobre CVE-2023-38348 (falha XSRF):
Devido à falha de segurança XSRF, um administrador pode, por exemplo, ser direcionado por um link a uma página preparada e então ser induzido a mudar sua senha ou fazer outras alterações — que depois podem cair nas mãos do atacante. Os atacantes, como “man in the middle”, têm assim a possibilidade de obter credenciais e outras características definidas pelo administrador na WebApp.
No pacote benno-web, agora foi introduzido o uso de tokens CSRF. No login de um usuário, o benno-web cria um token CSRF. Ele é armazenado na sessão e expira ao final da sessão. O benno-web adiciona esse token CSRF a cada formulário web (como campo hidden), que ao ser enviado gera alterações na base de dados (por exemplo, mudar senha, ajustar usuário etc.). Quando um administrador envia uma alteração, o token é enviado junto e verificado se corresponde ao token emitido na sessão. Ataques “man in the middle” serão assim efetivamente impedidos no futuro.
Com a versão atualizada do benno-web e benno-rest, esta falha de segurança é corrigida.