Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Hintertür in Open-Xchange

Vordefinierter Nutzer ermöglicht Angreifern Zugang. Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.
/ Julius Stiebert
8 Kommentare News folgen (öffnet im neuen Fenster)

Die als Fehler gemeldete(öffnet im neuen Fenster) Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer über diesen Account tatsächlich Zugang zu betroffenen Systemen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Produkt- und Anforderungsmanagerin / Produkt- und Anforderungsmanager - Implementierungseinheit (w/m/d) Bundesanstalt für Immobilienaufgaben, Bonn (öffnet im neuen Fenster)
IT Project Management Officer (PMO) (m/w/d) DKMS Group gGmbH, Köln,Tübingen (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Beauftragtenwesen Schwerpunkt Auslagerungsmanagement Teilzeit Sparkasse Rhein Neckar Nord, Weinheim (öffnet im neuen Fenster)
Duales Studium BWL/Immobilienwirtschaft Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)
Projektleitung (m/w/d) im Projekt StartDual.international Duale Hochschule Baden-Württemberg Karlsruhe, Karlsruhe (öffnet im neuen Fenster)
KI/ML Spezialist*in (m/w/d) mit Erfahrung im Applikationsbetrieb und Beratungsexpertise (unbefristet, bis zu TVL-13) Universität Stuttgart, Stuttgart (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Götting KG, Lehrte (öffnet im neuen Fenster)
Data Analyst (m/w/d) Herweck Aktiengesellschaft, Sankt Ingbert (öffnet im neuen Fenster)

Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden.

Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen.

Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern.

Zur Startseite 8 Kommentare

Relevante Themen

Open SourceSoftwareUnternehmenssoftwareSecuritySicherheitslückeWissenDatensicherheitServer