The Benno Mail Archive Wiki

User tools

Website tools

You are here: Benno Mail Archive » Unencrypted HTTP access
Last viewed:
HTTP plaintext access

Differences

The differences between two versions are shown here.

Link to this comparison view

Both sides of the previous revisionPrevious revision
Next revision		Previous revision
http_plaintext_access [2023/08/10 10:08] lwsystemshttp_plaintext_access [2023/08/16 13:18] (current) – [Nginx] lwsystems
Zeile 11: Zeile 11:
 ===== ACHTUNG - WICHTIGER HINWEIS! ===== ===== ACHTUNG - WICHTIGER HINWEIS! =====
  
-**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSRF-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38348|CVE-2023-38348]]) angreifbar!**+**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38347|CVE-2023-38347]]) angreifbar!**
  
-Die XSRF-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.+Die XSS-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.
  
-Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSRF-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!+Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!
  
 All customers with a valid Software Maintenance Subscription have been informed by us about the security vulnerabilities and the possibility of fixing them (update). All customers with a valid Software Maintenance Subscription have been informed by us about the security vulnerabilities and the possibility of fixing them (update).
 +
 +
 +===== Reverse-Proxy =====
 +
 +Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird
 +muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken.
 +
 +Zusätzlich muss sichergestellt sein, daß der Header //X_FORWARDED_PROTO// auf "https" gesetzt ist.
 +
 +==== Apache2.4 ====
 +
 +For an Apache 2.4 reverse proxy, these settings are configured as follows:
 +<file>
 +ProxyPreserveHost on
 +RequestHeader set X-Forwarded-Proto "https"
 +</file>
 +
 +==== Nginx ====
 +
 +When using nginx, the following configuration must be added to the proxy block:
 +
 +<file>
 +proxy_set_header Host $host;
 +proxy_set_header X-Forwarded-Proto $scheme;
 +</file>
http_plaintext_access.1691662115.txt.gz · Zuletzt geändert: 2023/08/10 10:08 von lwsystems

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki