Abo
  • Services:

Hintertür in Open-Xchange

Vordefinierter Nutzer ermöglicht Angreifern Zugang

Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.

Artikel veröffentlicht am , Julius Stiebert

Die als Fehler gemeldete Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer über diesen Account tatsächlich Zugang zu betroffenen Systemen.

Stellenmarkt
  1. Joyson Safety Systems Aschaffenburg GmbH, Berlin, Aschaffenburg
  2. Securiton GmbH IPS Intelligent Video Analytics, München

Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden.

Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen.

Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter.

Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern.



Anzeige
Top-Angebote
  1. 433€ + Versand (Bestpreis!)
  2. 481€ + Versand (Bestpreis!)
  3. (-81%) 5,55€
  4. 299,00€ inkl. Versand

Abraxas 19. Mai 2006

hi, während beim open... die quelltexte offenliegen und jeder reigucken kann und jeder...


Folgen Sie uns
       


4K-Projektoren für unter 2000 Euro - Test

Lohnen sich 4K-Projektoren für unter 2.000 Euro?

4K-Projektoren für unter 2000 Euro - Test Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


      •  /