Sicherheitslücken: Angreifer können Open-Xchange Code unterjubeln
In Open-Xchange klaffen zwei Schwachstellen, über die Kriminelle im schlimmsten Fall Sessions kapern können. Sicherheitspatches wurden bereits verteilt.
(Bild: dpa, Felix Kästle/Illustration)
Die Groupware Open-Xchange Server 6 und OX App Suite sind bis einschließlich Version 7.8.0 verwundbar, warnen Sicherheitsforscher von ProSec Networks. Da es sich um eine Webapplikation handelt, sind alle Betriebssysteme bedroht. Über zwei XSS-Lücken können Angreifer aus der Ferne Code auf Systeme schieben und so etwa Daten löschen und Sessions übernehmen.
Über die erste Schwachstelle können Angreifer Code in den Session-Parameter von Download-Anfragen schmuggeln, der dann unter Umständen vom Webbrowser ausgeführt wird. Das soll ohne Authentifizierung möglich sein. Um den Übergriff einzuleiten, müssen Opfer aber auf einen von Kriminellen zugespielten Link klicken.
Anschließend könne ein Angreifer zwar keine OX App Suite spezifischen Daten manipulieren, aber zum Beispiel Cookies stehlen und Umleitungen auf bösartige Hosts realisieren, erläutert ProSec Networks. Die gefixten Versionen 7.6.2-rev50, 7.6.3-rev8, 7.8.0-rev26 sollen das Problem lösen.
Sicherheits-Patches bereits verteilt
Nehmen Angreifer die zweite XSS-Lücke ins Visier, müssen sie ihren Opfern eine manipulierte Datei unterjubeln. Fällt ein Opfer darauf rein und speichert diese im OX Drive, kann Code mit den Rechten des Opfers ausgeführt werden. Über diesen Weg können Angreifer Sessions übernehmen und etwa Daten löschen. Um das zu unterbinden, stehen die abgedichteten Versionen 7.6.2-rev40, 7.6.3-rev7, 7.8.0-rev19 zum Download bereit.
ProSec Networks zufolge werden die Sicherheits-Patches seit Mitte März dieses Jahres ausgerollt. Großkunden wie 1&1 sollen ihre Systeme bereits abgesichert haben. (des)
