Различия

Здесь показаны различия между двумя версиями.

--- http_plaintext_access [2023/07/31 15:28] - созданный lwsystems
+++ http_plaintext_access [2023/08/16 13:18] (текущий) – [Nginx] lwsystems
@@ Zeile 8: / Zeile 8: @@
 быть зарегистрированным.
+===== ACHTUNG - WICHTIGER HINWEIS! =====
+**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38347|CVE-2023-38347]]) angreifbar!**
+Уязвимость XSS устранена начиная с версий benno-web 2.10.2 и benno-rest 2.10.1.
+Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!
+Все клиенты, имеющие действующую подписку на техническое обслуживание программного обеспечения, были нами проинформированы об уязвимостях в системе безопасности и возможности их устранения (обновления).
+===== Reverse-Proxy =====
+Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird
+muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken.
+Zusätzlich muss sichergestellt sein, daß der Header //X_FORWARDED_PROTO// auf "https" gesetzt ist.
+==== Apache2.4 ====
+Для обратного прокси-сервера Apache 2.4 следующие настройки задаются следующим образом:
+<file>
+ProxyPreserveHost on
+RequestHeader set X-Forwarded-Proto "https"
+</file>
+==== Nginx ====
+При использовании nginx в блок прокси необходимо добавить следующую конфигурацию:
+<file>
+proxy_set_header Host $host;
+proxy_set_header X-Forwarded-Proto $scheme;
+</file>

Архив писем Бенно (Benno Mail Archive Wiki)

Инструменты пользователя

Инструменты веб-сайта

Различия

Инструменты страницы