Abo
  • Services:
Anzeige

Hintertür in Open-Xchange

Vordefinierter Nutzer ermöglicht Angreifern Zugang

Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.

Die als Fehler gemeldete Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer über diesen Account tatsächlich Zugang zu betroffenen Systemen.

Anzeige

Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden.

Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen.

Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter.

Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern.


eye home zur Startseite
Abraxas 19. Mai 2006

hi, während beim open... die quelltexte offenliegen und jeder reigucken kann und jeder...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. Sika Deutschland GmbH, Stuttgart
  3. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  4. FERCHAU Engineering GmbH, Hamburg


Anzeige
Hardware-Angebote
  1. 49,90€
  2. (reduzierte Überstände, Restposten & Co.)
  3. beim Kauf eines 6- oder 8-Core FX Prozessors

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Videocodec

    Für Netflix ist H.265 besser als VP9

  2. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen

  3. World of Warcraft

    Sechste Erweiterung Legion ist online

  4. Ripper

    Geldautomaten-Malware gibt bis zu 40 Scheine aus

  5. Europäische Union

    Irlands Steuervorteile für Apple sollen unzulässig sein

  6. Linux-Paketmanager

    RPM-Entwicklung verläuft chaotisch

  7. Neuseeland

    Kim Dotcom überträgt Gerichtsverhandlung im Netz

  8. Leitlinien vereinbart

    Regulierer schwächen Vorgaben zu Netzneutralität ab

  9. Kartendienst

    Microsoft und Amazon könnten sich an Here beteiligen

  10. Draufsicht

    Neuer 5er BMW mit Überwachungskameras



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Radeon RX 460: AMDs kleinste Polaris-Karte braucht mehr Speicher
Radeon RX 460
AMDs kleinste Polaris-Karte braucht mehr Speicher
  1. Polaris-Grafikkarten Neuer Treiber steigert Bildrate in Tomb Raider
  2. Polaris-Grafikkarten AMD stellt Radeon RX 470 und RX 460 vor
  3. Radeon Pro SSG AMD zeigt Profi-Karte mit SSDs für ein TByte Videospeicher

Radeon RX 470 im Test: Die 1080p-Karte für High statt Ultra
Radeon RX 470 im Test
Die 1080p-Karte für High statt Ultra
  1. Radeons RX 480 Die Designs von AMDs Partnern takten höher - und konstanter
  2. Radeon Software 16.7.2 Neuer Grafiktreiber macht die RX 480 etwas schneller
  3. Radeon RX 480 erneut vermessen Treiber reduziert Stromstärke auf PEG-Slot

Garmin Vivosmart HR+ im Hands on: Das Sport-Computerchen
Garmin Vivosmart HR+ im Hands on
Das Sport-Computerchen
  1. Fenix Chronos Garmins neue Sport-Smartwatch kostet ab 1.000 Euro
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Garmin Edge 820 Radcomputer zeigt Position der Tourbegleiter

  1. Re: Halbe Milliarde

    Niaxa | 12:53

  2. Re: Datenschutz / Täterschutz

    unbuntu | 12:53

  3. Re: x265/h265 hat mich entäuscht.

    NeoCronos | 12:53

  4. Re: Null Mitleid

    Prinzeumel | 12:51

  5. Re: Für was soll das gut sein?

    unbuntu | 12:51


  1. 12:31

  2. 12:07

  3. 11:51

  4. 11:25

  5. 10:45

  6. 10:00

  7. 09:32

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel