Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- http_plaintext_access [2023/07/31 15:28] – angelegt lwsystems
+++ http_plaintext_access [2023/08/16 13:18] (aktuell) – [Nginx] lwsystems
@@ Zeile 8: / Zeile 8: @@
 eingetragen werden.
+===== ACHTUNG - WICHTIGER HINWEIS! =====
+**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38347|CVE-2023-38347]]) angreifbar!**
+Die XSS-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.
+Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!
+Alle Kunden mit gültiger Software Maintenance Subskription wurden von uns über die Sicherheitslücken und deren Möglichkeit zur Behebung (Update) informiert.
+===== Reverse-Proxy =====
+Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird
+muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken.
+Zusätzlich muss sichergestellt sein, daß der Header //X_FORWARDED_PROTO// auf "https" gesetzt ist.
+==== Apache2.4 ====
+Für einen Apache 2.4 Reverse-Proxy werden diese Einstellungen wie folgt konfiguriert:
+<file>
+ProxyPreserveHost on
+RequestHeader set X-Forwarded-Proto "https"
+</file>
+==== Nginx ====
+Bei Verwendung von nginx muss die folgende Konfiguration in den proxy-Block hinzugefügt werden:
+<file>
+proxy_set_header Host $host;
+proxy_set_header X-Forwarded-Proto $scheme;
+</file>

Das Benno MailArchiv Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge