В версии Benno Web 2.10.2 вход в веб-интерфейс возможен только по протоколу HTTPS.

Если по-прежнему разрешен вход в систему без шифрования по протоколу HTTP, соответствующий параметр /etc/benno-web/benno.conf.

UNENCRYPTED_ACCESS = true

быть зарегистрированным.

Включение использованием HTML-кода делает Benno MailArchiv уязвимым для критической уязвимости безопасности XSS (см. CVE-2023-38347 )!

Уязвимость XSS устранена начиная с версий benno-web 2.10.2 и benno-rest 2.10.1.

Если при установке будет использован HTML-код , уязвимость XSS останется активной, и сервер снова станет уязвим для атак через эту уязвимость!

Все клиенты, имеющие действующую подписку на техническое обслуживание программного обеспечения, были нами проинформированы об уязвимостях в системе безопасности и возможности их устранения (обновления).

Если экземпляр Benno MailArchiv работает за обратным прокси-сервером и доступ к нему осуществляется по протоколу HTTP, обратный прокси-сервер должен отправить исходный заголовок HTTP Host на нижестоящий веб-сервер.

Кроме того, необходимо убедиться, что заголовок X_FORWARDED_PROTO имеет значение "https".

Для обратного прокси-сервера Apache 2.4 следующие настройки задаются следующим образом:

В параметре ProxyPreserveHost объекта RequestHeader установлено значение X-Forwarded-Proto "https"

При использовании nginx в блок прокси необходимо добавить следующую конфигурацию:

proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme;