With version Benno Web 2.10.2, logging into the web interface is only possible via HTTPS.

Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter

UNENCRYPTED_ACCESS = true

be entered.

Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSRF-Sicherheitslücke (siehe CVE-2023-38348) angreifbar!

Die XSRF-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.

Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSRF-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!

All customers with a valid Software Maintenance Subscription have been informed by us about the security vulnerabilities and the possibility of fixing them (update).