В версии Benno Web 2.10.2 вход в веб-интерфейс возможен только по протоколу HTTPS.

Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter

UNENCRYPTED_ACCESS = true

быть зарегистрированным.

Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe CVE-2023-38347) angreifbar!

Уязвимость XSS устранена начиная с версий benno-web 2.10.2 и benno-rest 2.10.1.

Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!

Все клиенты, имеющие действующую подписку на техническое обслуживание программного обеспечения, были нами проинформированы об уязвимостях в системе безопасности и возможности их устранения (обновления).