Abo
  • Services:

Hintertür in Open-Xchange

Vordefinierter Nutzer ermöglicht Angreifern Zugang

Ein vordefinierter Benutzer-Account beim Einsatz der freien Version von Open-Xchange mit LDAP kann Angreifern Zugriff auf das System erlauben. Da nicht explizit auf diesen Benutzer hingewiesen wird, können Administratoren ihn leicht übersehen, so dass die Hintertür nicht geschlossen wird.

Artikel veröffentlicht am , Julius Stiebert

Die als Fehler gemeldete Sicherheitslücke befindet sich in der Initdatei, die verwendet wird, um die freie Variante der Groupware Open-Xchange an einen LDAP-Server anzubinden. Darin ist der Nutzer "Mailadmin" vordefiniert, der sich mit einem Standardpasswort anmelden kann, das in der betroffenen Datei im Klartext steht. Da zusätzlich /bin/bash als Shell eingetragen ist, erhält ein Angreifer über diesen Account tatsächlich Zugang zu betroffenen Systemen.

Stellenmarkt
  1. McDonald's Deutschland LLC, München
  2. Lechwerke AG, Augsburg

Laut des Fehlerberichts kann sich ein Angreifer so zumindest auf einem angebundenen Cyrus-IMAP-Server anmelden. Sofern Open-Xchange mit LDAP zur Benutzerauthentifizierung über die unter Unix-Systemen verwendeten Pluggable Authentication Modules (PAM) zum Einsatz kommt, ist auch die Anmeldung an einer Shell möglich. Außerdem hat der Nutzer Mailadmin Zugriff auf die Groupware, wenngleich hier keine Knöpfe angezeigt werden.

Ob der Nutzer in zukünftigen Versionen entfernt wird, ist nicht bekannt, daher sollten Administratoren das Passwort des Nutzers ändern oder seine Login-Shell auf /bin/false setzen.

Wie Open-Xchange-Entwicklungsleiter Martin Kauss gegenüber Golem.de mitteilte, ist der Nutzer Mailadmin dafür gedacht, dass neue Nutzer ein Postfach auf dem IMAP-Server bekommen und neue Ordner angelegt werden können. Einige Administrations-Frontends nutzen demnach den Nutzer Mailadmin auch zur Anmeldung. Die Entwickler würden jedoch bereits daran arbeiten, dieses Prinzip zu ändern, so Kauss weiter.

Dabei ist das Problem gar nicht so neu: Während es in vielen Anleitungen nicht erwähnt wird, weisen einige darauf hin, dass eine Standardinstallation nur für eine Testumgebung geeignet ist. Antworten auf den Fehlerbericht erklären auch bereits, wie man das Passwort durch ein verschlüsseltes ersetzen kann. Die kommerzielle Open-Xchange-Variante weist jedoch ausdrücklich auf das Vorhandensein des Nutzers hin und fordert den Administrator auf, das Passwort zu ändern.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Abraxas 19. Mai 2006

hi, während beim open... die quelltexte offenliegen und jeder reigucken kann und jeder...


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 2

Im zweiten Teil unseres Livestreams basteln wir ein eigenes neues Deck (dreifarbig!) und ziehen damit in den Kampf.

MTG Arena Ravnica Allegiance - Livestream 2 Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Tesla: Kleiner Gewinn, ungewisse Zukunft
Tesla
Kleiner Gewinn, ungewisse Zukunft

Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
Eine Analyse von Dirk Kunde

  1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
  2. Kundenprotest Tesla senkt Supercharger-Preise wieder
  3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    •  /