With version Benno Web 2.10.2, logging into the web interface is only possible via HTTPS.

Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter

UNENCRYPTED_ACCESS = true

be entered.

Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe CVE-2023-38347) angreifbar!

The XSS vulnerability is closed from benno-web version 2.10.2 and benno-rest version 2.10.1 onwards.

Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!

All customers with a valid Software Maintenance Subscription have been informed by us about the security vulnerabilities and the possibility of fixing them (update).

If the Benno MailArchiv instance is operated behind a reverse proxy and is accessed via HTTP, the reverse proxy must send the original HTTP Host header to the downstream web server.

Zusätzlich muss sichergestellt sein, daß der Header X_FORWARDED_PROTO auf „https“ gesetzt ist.

For an Apache 2.4 reverse proxy, these settings are configured as follows:

ProxyPreserveHost on RequestHeader set X-Forwarded-Proto "https"

When using nginx, the following configuration must be added to the proxy block:

proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme;