Mit der Version Benno Web 2.10.2 ist die Anmeldung am Web-Interface nur noch über HTTPS möglich.

Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter

UNENCRYPTED_ACCESS = true

eingetragen werden.

Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe CVE-2023-38347) angreifbar!

Die XSS-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.

Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!

Alle Kunden mit gültiger Software Maintenance Subskription wurden von uns über die Sicherheitslücken und deren Möglichkeit zur Behebung (Update) informiert.

Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken.

Zusätzlich muss sichergestellt sein, daß der Header X_FORWARDED_PROTO auf „https“ gesetzt ist.

Für einen Apache 2.4 Reverse-Proxy werden diese Einstellungen wie folgt konfiguriert:

ProxyPreserveHost on
RequestHeader set X-Forwarded-Proto "https"

Bei Verwendung von nginx muss die folgende Konfiguration in den proxy-Block hinzugefügt werden:

proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;