Архив писем Бенно (Benno Mail Archive Wiki)

Инструменты пользователя

Инструменты веб-сайта

Вы здесь: Архив писем Бенно » Незашифрованный HTTP-доступ
Последний просмотр: Незашифрованный HTTP-доступ Запрос на лицензию
HTTP-доступ в открытом текстовом виде

Различия

Здесь показаны различия между двумя версиями.

Ссылка на этот сравнительный просмотр

Обе стороны предыдущей редакцииПредыдущая редакция
Следующая редакция		Предыдущая редакция
http_plaintext_access [2023/08/10 10:08] lwsystemshttp_plaintext_access [2023/08/16 13:18] (текущий) – [Nginx] lwsystems
Zeile 11: Zeile 11:
 ===== ACHTUNG - WICHTIGER HINWEIS! ===== ===== ACHTUNG - WICHTIGER HINWEIS! =====
  
-**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSRF-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38348|CVE-2023-38348]]) angreifbar!**+**Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe [[https://nvd.nist.gov/vuln/detail/CVE-2023-38347|CVE-2023-38347]]) angreifbar!**
  
-Die XSRF-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.+Die XSS-Lücke ist ab benno-web Version 2.10.2 und benno-rest Version 2.10.1 geschlossen.
  
-Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSRF-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!+Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!
  
 Все клиенты, имеющие действующую подписку на техническое обслуживание программного обеспечения, были нами проинформированы об уязвимостях в системе безопасности и возможности их устранения (обновления). Все клиенты, имеющие действующую подписку на техническое обслуживание программного обеспечения, были нами проинформированы об уязвимостях в системе безопасности и возможности их устранения (обновления).
 +
 +
 +===== Reverse-Proxy =====
 +
 +Falls die Benno MailArchiv Instanz hinter einem Reverse-Proxy betrieben wird und von diesem per HTTP angesprochen wird
 +muss der Reverse-Proxy den ursprünglich HTTP-Host Header an den nachgelagerten Webserver schicken.
 +
 +Zusätzlich muss sichergestellt sein, daß der Header //X_FORWARDED_PROTO// auf "https" gesetzt ist.
 +
 +==== Apache2.4 ====
 +
 +Для обратного прокси-сервера Apache 2.4 следующие настройки задаются следующим образом:
 +<file>
 +ProxyPreserveHost on
 +RequestHeader set X-Forwarded-Proto "https"
 +</file>
 +
 +==== Nginx ====
 +
 +При использовании nginx в блок прокси необходимо добавить следующую конфигурацию:
 +
 +<file>
 +proxy_set_header Host $host;
 +proxy_set_header X-Forwarded-Proto $scheme;
 +</file>
http_plaintext_access.1691662115.txt.gz · Zuletzt geändert: 2023/08/10 10:08 von lwsystems

Инструменты страницы

Пожертвовать Работает на PHP Действительный HTML5 Действительный CSS Разработано DokuWiki