2023年7月中旬发现了两个 关键安全漏洞 在 Benno MailArchiv 中。
其中一个问题涉及关键的 XSS 漏洞 (跨站脚本),另一个是关键的 XSRF 漏洞 (跨站请求伪造)。

为这两个安全漏洞分配了CVE编号:

  • CVE-2023-38347(针对XSS漏洞)
  • CVE-2023-38348(针对XSRF漏洞)

解决方案:

请及时更新您的 Benno MailArchiv 安装 及时 至 最新版本! 通过安装软件包 benno-web (版本 2.10.2)和 benno-rest (版本 2.10.1)两个相关组件将被更新。两个关键的安全漏洞已在其中修复。

关于更新的重要提示:

更新 从安装起立即强制 使用 HTTPS (also SSL-verschlüsseltem http) für die WebApp! 
更新后是一个 登录 在 Benno WebApp 中 仅通过 HTTPS 可用!

仍然可以使用 HTTP(unverschlüsselt)的登录。此操作必须有针对性地启用。在 Benno Wiki 的此文章中,解释了如何启用 Plaintext HTML 登录: https://wiki.benno-mailarchiv.de/doku.php/http_plaintext_access

注意 – 重要:
XSS-Lücke 仅通过使用 HTTPS 才能生效 生效 已关闭!
如果按之前描述手动将安装切换为纯文本 HTML 登录, XSS-Sicherheitslücke 仍然有效 并且服务器随后再次 über 安全lücke 可被攻击!

有关两个关键安全漏洞的更多信息:

关于 CVE-2023-38347 (XSS-漏洞):
Benno WebApp 在网页界面中未过滤地显示电子邮件。在显示 HTML 代码之前,不会检查其中是否包含有害的 JavaScript 代码等,也不会进行过滤。
如果归档的邮件中包含有针对性的恶意 JavaScript 代码,并且该邮件在 Benno WebApp 中被用户查看,则该 JavaScript 代码可以访问会话 Cookie,读取其内容并将信息发送给攻击者。例如,攻击者可以提取受影响用户的 Benno MailArchiv 访问凭证,从而获得对邮件存档(只要通过互联网可访问)的访问权限。同样也可以通过此方式更改已登录的 Benno WebApp 用户的密码。(此攻击向量受会话 Cookie 生命周期限制。受害者关闭网页浏览器后,会话 Cookie 将失效)。
在 benno-web 包中,通过扩展 httponly 模式并使用 Secure Cookie 来修改了 Cookie 处理。benno-web 中的表单已添加了 CSRF 令牌。通过该令牌,Web 服务器现在可以判断表单是否由合法用户通过其浏览器提交。使用更新后的 benno-web 和 benno-rest 版本,此 XSS 安全漏洞已被修复。HTML 格式的邮件在显示前,JavaScript 代码将被 benno-rest 移除。

关于 CVE-2023-38348 (XSRF-漏洞):
通过 XSRF 安全漏洞,管理员可能被引导至预先准备的页面链接,并在该页面上被迫更改密码或进行其他设置——这些信息随后可能落入攻击者手中。攻击者作为“中间人”能够获取管理员通过 WebApp 设置的凭据和其他信息。
在 benno-web 包中已引入 CSRF 令牌的使用。用户登录时,benno-web 会生成相应的 CSRF 令牌,并在会话中管理,会在会话结束后失效。benno-web 将该 CSRF 令牌添加到每个 Web 表单(作为隐藏字段),这些表单在提交时会对数据进行更改(例如更改密码、修改用户等)。例如管理员提交一次更改时,令牌随同提交并检查其是否与会话中生成的相匹配。这样即可有效阻止未来的“中间人”攻击。
使用更新后的 benno-web 和 benno-rest 版本,此安全漏洞已被修复。