![]() |
Stellenmarkt
Software-Entwickler (Junior) (m/w)
Teamleiter/in im IT-Center
PHP-Entwickler (m/w) NewsletteraboVerwandte ThemenSecurity, OSS, Desktop-Applikationen, Groupware, Open-Xchange Verwandte ArtikelOpen-Xchange 0.8.2: Neue Community-Version erschienen Open-Xchange unterstützt mehr mobile Geräte Letzte MeldungenBundesgerichtshof: Sedlmayr-Mörder müssen Fotos dulden Buzz - Google macht Twitter und Facebook Konkurrenz Belkins Powerline-Adapter sollen P1901-kompatibel werden 600 GByte mit 10.000 U/min von Seagate British Library und Microsoft liefern kostenlose E-Books Wenn Sicherheitssoftware zu Sicherheitslücken führt KDE SC 4.4 - Caikaku macht einen großen Schritt Quadriga Games - ein neues deutsches Spielestudio Zoomit: SD-Kartenleser fürs iPhone EA macht weniger Umsatz im Weihnachtsgeschäft Wie geht es weiter mit dem Kindle? Samsung S5620: Handy mit kapazitivem Touchscreen und WLAN Aperture 3 lernt GPS, erkennt Gesichter und bekommt Pinsel Aiptek MobileCinema D25 - Projektor mit DVD und DVB-T Optimus: Grafikkerne im Notebook automatisch umschalten Innenministerium gibt 2 Millionen Euro für Botnetzbekämpfung Dalvik Turbo soll Android dreimal schneller machen Amazons S3 lernt Versionierung Copperlicht - 3D-Engine rendert Quake 3 im Browser EU-Kommission bekennt Farbe zu ACTA Samsung Shark: Drei Mobiltelefone für soziale Netzwerke Kingston profitiert von Preisanstieg bei DRAM und Flash Infocus-Projektoren über Funk auch mit dem Mac ansteuern Tankstellen werden zu Akkuwechselstationen AMD verrät Details zu CPU- und GPU-Kombination Llano Microsoft: Windows 7 hat keine Probleme mit Notebookakkus Flash soll auf Macs bald schneller laufen als unter Windows Speedcommander 13.10 korrigiert Programmfehler Radeon HD 5570 - DirectX-11 auch für Kompakt-PCs Deutsche Telekom greift Kabel Deutschland an (Update) Haben wir etwas übersehen? Dann Mail an news@golem.de. |
||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||
Hintertür in Open-XchangeVordefinierter Nutzer ermöglicht Angreifern Zugang
Die als Fehler gemeldete Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer
über diesen Account tatsächlich Zugang zu betroffenen Systemen.
Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden. Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen. Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter. Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern. (js)
|
|||||||||||||||||||||||||||||||||||||||||||||

