Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
http_plaintext_access [2023/07/31 15:28] – angelegt lwsystems | http_plaintext_access [2023/08/16 13:18] (aktuell) – [Nginx] lwsystems | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
eingetragen werden. | eingetragen werden. | ||
+ | |||
+ | ===== ACHTUNG - WICHTIGER HINWEIS! ===== | ||
+ | |||
+ | **Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe [[https:// | ||
+ | |||
+ | Die XSS-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen. | ||
+ | |||
+ | Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar! | ||
+ | |||
+ | Alle Kunden mit gültiger Software Maintenance Subskription wurden von uns über die Sicherheitslücken und deren Möglichkeit zur Behebung (Update) informiert. | ||
+ | |||
+ | |||
+ | ===== Reverse-Proxy ===== | ||
+ | |||
+ | Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird | ||
+ | muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken. | ||
+ | |||
+ | Zusätzlich muss sichergestellt sein, daß der Header // | ||
+ | |||
+ | ==== Apache2.4 ==== | ||
+ | |||
+ | Für einen Apache 2.4 Reverse-Proxy werden diese Einstellungen wie folgt konfiguriert: | ||
+ | < | ||
+ | ProxyPreserveHost on | ||
+ | RequestHeader set X-Forwarded-Proto " | ||
+ | </ | ||
+ | |||
+ | ==== Nginx ==== | ||
+ | |||
+ | Bei Verwendung von nginx muss die folgende Konfiguration in den proxy-Block hinzugefügt werden: | ||
+ | |||
+ | < | ||
+ | proxy_set_header Host $host; | ||
+ | proxy_set_header X-Forwarded-Proto $scheme; | ||
+ | </ |