Angreifer könnten auf Server mit dem Framework Horde für Emails zugreifen und im schlimmsten Fall auch eigenen Code ausführen. Das dürfte das Ende von Horde Webmail bedeuten.
Horde Webmail ist jetzt verwundbar, potentielle Angreifer könnten an einer Sicherheitslücke ansetzen. Die Sicherheitsforscher von Sonar warnen und weisen darauf hin, dass es vermutlich kein Sicherheitsupdate mehr geben wird.
In ihrer Warnmeldung schreiben die Entdecker der Schwachstelle (CVE-2022-30287), dass das Projekt wohl inzwischen nicht mehr gepflegt wird. Sie raten den Benutzern deshalb dringend, diese Software nicht mehr zu nutzen und stattdessen einen anderen Webmailer einzusetzen.
Die Schwachstelle ist gefährlich
Der Schweregrad der Lücke wurde bisher noch nicht eingestuft. Im Beitrag der Sicherheitsforscher liest es sich aber so, dass Angreifer nach erfolgreichen Attacken sogar Schadcode auf dem zugrundeliegenden Server ausführen könnten.
Derartige Schwachstellen werden in der Regel als „kritisch“ eingestuft. Dem Beitrag nach müssen Angreifer aber zumindest authentifiziert sein, um präparierte Mails verschicken zu können – deshalb passt die Einstufung „hoch“ wohl am besten.
Außerdem könnten Angreifer die Anmeldeinformationen von Opfern im Klartext sehen. Es reicht dafür aus, wenn ein Opfer seine Mail öffnet – eine weitergehende Interaktion sei dafür nicht nötig.
Laut den Forschern sind Horde-Instanzen mit der aktuellen Version der Software in den Standardeinstellungen angreifbar.
Ein bisschen übertrieben, vom Ende zu sprechen, wegen eines Problems, das mit einem zweizeiligen Patch behoben werden kann, oder? 🙄
Da das Projekt nach den Angaben von Sonar wohl inzwischen nicht mehr gepflegt wird, hat das durchaus seine Berechtigung…
Würdest du denn einen Mailer einsetzen, der keine Updates mehr bekommt? Ich habe Horde früher auch gerne benutzt – aber heute würde ich das nicht mehr wagen.
Es mag ja sein, dass das aktuelle Problem mit zwei Programmzeilen beseitigt werden kann, aber wie willst du die Änderung denn dann an alle Noch-Benutzer ausspielen? Und der nächste Fehler könnte ja auch deutlich komplexer werden!
Sicher. Mit Updates werden oft auch auch neue Fehler eingebaut. Manche Dinge sind irgendwann fertig und benötigen keinen konstanten Feature-Creep. Eine Open-Source-Software, die nicht mehr weiter entwickelt, aber auf breiter Front eingesetzt und von der Community gepatcht wird, ist wahrscheinlich irgendwann das Sicherste, was man kriegen kann.