В середине июля 2023 года было обнаружено два критические уязвимости безопасности в Benno MailArchiv обнаружены.
Первая проблема касается критической уязвимости XSS (Cross Site Scripting), вторая является критической уязвимости XSRF (Cross-Site Request Forgery).

Для обеих уязвимостей безопасности были присвоены номера CVE:

  • CVE-2023-38347 (для XSS-уязвимости)
  • CVE-2023-38348 (для XSRF-уязвимости)

Решение:

Пожалуйста, обновите вашу установку Benno MailArchiv в ближайшее время на последнюю версию! Через установку пакетов benno-web (Version 2.10.2) и benno-rest (Version 2.10.1) будут обновлены оба соответствующих компонента. Оба критических уязвимости безопасности закрыты.

Важное примечание к обновлению:

Обновление заставляет сразу после установки использование HTTPS (also SSL-verschlüsseltem http) für die WebApp! 
После обновления это Вход в Benno WebApp только по HTTPS möglich!

По-прежнему существует Möglichkeit, вход für HTTP (unverschlüsselt) zu nutzen. Это необходимо, однако, целенаправленно активировать. В этой статье в Benno Wiki активация Plaintext HTML Login erläutert: https://wiki.benno-mailarchiv.de/doku.php/http_plaintext_access

ВНИМАНИЕ – ВАЖНО:
Уязвимость XSS-Lücke будет устранена только при использовании HTTPS действует закрыта!
Если установка, как описано выше, будет вручную переключена на Plaintext HTML Login, XSS‑Sicherheitslücke остаётся действующей и сервер после этого снова будет über Sicherheitslücke уязвим!

Дополнительная информация о двух критических уязвимостях безопасности:

Относительно CVE-2023-38347 (XSS-уязвимость):
Benno WebApp отображает электронные письма в веб‑интерфейсе без фильтрации. Перед отображением HTML‑кода он не проверяется на вредоносный JavaScript‑код и т.п., и не фильтруется.
Если архивированное письмо содержит целенаправленно размещённый вредоносный JavaScript‑код и это письмо отображается пользователем в Benno WebApp, JavaScript‑код может получить доступ к cookie сеанса, считать его и передать информацию атакующему. Таким образом атакующий, например, может извлечь данные доступа к Benno MailArchiv у затронутого пользователя и получить доступ к архиву почты (насколько он доступен через Интернет). Также через этот путь можно изменить пароль вошедшего в систему пользователя Benno WebApp. (Этот вектор атаки ограничен временем жизни cookie сеанса. Закрытие браузера жертвы делает cookie сеанса недействительным).
В пакете benno-web обработка cookie была изменена расширением режима httponly и использованием защищённых cookie. Формам в benno-web был добавлен CSRF‑токен. Благодаря ему веб‑сервер теперь может определить, было ли отправление формы выполнено легитимным пользователем через его браузер или нет. В обновлённой версии benno-web и benno-rest эта XSS‑уязвимость закрыта. Перед отображением HTML‑форматированных писем JavaScript‑код теперь удаляется внутри benno-rest.

Относительно CVE-2023-38348 (XSRF-уязвимость):
Из‑за XSRF‑уязвимости администратор, например, может быть перенаправлен по ссылке на подготовленную страницу и там заставлен изменить свой пароль или выполнить другие настройки — которые затем могут попасть в руки атакующего. Атакующий, выступая в роли «man in the middle», получает возможность получить учётные данные и другие параметры, установленные администратором через WebApp.
В пакете benno-web теперь введено использование CSRF‑токенов. При входе пользователя benno-web создаёт такой CSRF‑токен. Он хранится в сессии и истекает по её окончании. benno-web добавляет этот CSRF‑токен каждому веб‑форму (как скрытый тег), которые при отправке вносят изменения в данные (например, изменить пароль, изменить пользователя и т.д.). Если администратор отправляет изменение, токен передаётся вместе с запросом и проверяется, совпадает ли он с токеном, выданным в сессии. Атаки «Man in the middle» в дальнейшем будут эффективно предотвращены.
В обновлённой версии benno-web и benno-rest эта уязвимость закрыта.