Ga naar inhoud

Horde Webmail-accounts en -servers via malafide e-mail over te nemen


Aanbevolen berichten

Een kwetsbaarheid in de webmailsoftware Horde maakt het mogelijk voor aanvallers om accounts door middel van een malafide e-mail over te nemen en in het ergste geval controle over de server te krijgen. Een beveiligingsupdate is nog niet beschikbaar, ook al werd het probleem zes maanden geleden bij de ontwikkelaars gemeld.

Tal van organisaties maken gebruik van Horde voor het aanbieden van webmail aan hun gebruikers. Daarnaast wordt Horde ook meegeleverd als onderdeel van de hostingoplossing cPanel, waarmee veel organisaties hun websites beheren.

De kwetsbaarheid werd ontdekt door securitybedrijf SonarSource en is al negen jaar lang in de code van de webmailsoftware aanwezig. Het gaat om een stored cross-site scripting-lek dat via de previewfunctie van de webmail is te misbruiken. Hiervoor zou een aanvaller een speciaal geprepareerd OpenOffice-document als bijlage moeten versturen.

Zodra Horde dit document omzet naar XHTML voor een previewweergave, kan kwaadaardige JavaScript in het document worden uitgevoerd. Daarmee kan de aanvaller toegang tot de sessie van de gebruiker krijgen en zo ontvangen en verstuurde e-mails inzien.

Horde wordt standaard geleverd met een beheerderspaneel, waarmee een beheerder willekeurige systeemcommando's op de Horde-server kan uitvoeren. Wanneer een aanvaller erin slaagt om een beheerder succesvol an te vallen, is het zo mogelijk om de webmailserver over te nemen.

Het probleem werd op 26 augustus aan Horde gerapporteerd en een aantal dagen later door het ontwikkelteam bevestigd. Een beveiligingsupdate is echter nog altijd niet beschikbaar gemaakt. SonarSource heeft nu besloten details van de kwetsbaarheid openbaar te maken, alsmede een onofficiële oplossing die beheerders kunnen nemen om hun server te beschermen. Hiervoor moet aan het bestand config/mime_drivers.php een optie voor de OpenOffice mime handler worden toegevoegd.

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.