Mit der Version Benno Web 2.10.2 ist die Anmeldung am Web-Interface nur noch über HTTPS möglich.

Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter

UNENCRYPTED_ACCESS = true

eingetragen werden.

Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSRF-Sicherheitslücke (siehe CVE-2023-38348) angreifbar!

Die XSRF-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.

Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSRF-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!

Alle Kunden mit gültiger Software Maintenance Subskription wurden von uns über die Sicherheitslücken und deren Möglichkeit zur Behebung (Update) informiert.