Schwachstelle durch festes Passwort in Open-Xchange
Der quelloffene Open-Xchange-Server setzt bei der Installation eine gültige Loginshell sowie ein festes Standardpasswort für das Benutzerkonto "mailadmin". Angreifer könnten damit Zugriff auf das System erlangen.
Die Open-Source-Version von Open-Xchange legt während der Installation einen Standard-Nutzer mit einem festen Passwort an. Dadurch können Angreifer Zugriff auf das System erhalten. Die Open-Xchange-Suite bildet die Funktionen eines Microsoft-Exchange-Servers mit Open-Source-Komponenten nach.
Das Problem entsteht durch ein Init-Skript für die LDAP-Datenbank, in dem ein Benutzer mailadmin mit dem Passwort secret und der Loginshell /bin/bash hinterlegt ist. Damit können sich Nutzer an dem in der Suite integrierten Cyrus-IMAP-Daemon anmelden und anschließend weitere Schwachstellen in älteren Versionen des Servers ausnutzen. Sofern Open-Xchange als LDAP-Quelle für die Pluggable-Authentication-Module (PAM) dient, ist sogar eine direkte Anmeldung am System möglich.
Als Umgehungsmaßnahme sollten Administratoren eines Open-Xchange-Servers die Loginshell des Nutzers mailadmin auf /bin/false sowie das zugehörige Passwort neu setzen. Der Fehler soll mit der nächsten Version des Open-Xchange-Servers beseitigt werden. Die kommerzielle Variante von Open-Xchange ist den Entwicklern zufolge von der Schwachstelle nicht betroffen.
Siehe dazu auch: (dmk)
- User "mailadmin" in init_ldap.ldif with password "secret" and "/bin/bash" for loginshell, Bugzilla-Eintrag im Bugtracking-System von Open-Xchange
