• IT-Karriere:
  • Services:

Hintertür in Open-Xchange

Vordefinierter Nutzer ermöglicht Angreifern Zugang

Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.

Artikel veröffentlicht am , Julius Stiebert

Die als Fehler gemeldete Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer über diesen Account tatsächlich Zugang zu betroffenen Systemen.

Stellenmarkt
  1. CeMM, Wien (Österreich)
  2. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München

Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden.

Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen.

Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter.

Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,49€
  2. 4,19€

Abraxas 19. Mai 2006

hi, während beim open... die quelltexte offenliegen und jeder reigucken kann und jeder...


Folgen Sie uns
       


Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
LG Gram 14Z90N im Test
Die Feder ist mächtiger als das Schwert

Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
Ein Test von Oliver Nickel

  1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell

Space Force: Die Realität ist witziger als die Fiktion
Space Force
Die Realität ist witziger als die Fiktion

Über Trumps United States Space Force ist schon viel gelacht worden. Steve Carrell hat daraus eine Serie gemacht. Die ist allerdings nicht ganz so lustig geworden.
Von Peter Osteried

  1. Videostreaming Netflix deaktiviert lange nicht genutzte Abos
  2. Corona und Videostreaming Netflix beendet Drosselung der Bitrate, Amazon nicht
  3. Streaming Netflix-Comedyserie zeigt die Anfänge der US Space Force

    •  /