image

Ernstig lek in Horde Webmail maakte diefstal inboxes mogelijk

dinsdag 5 november 2019, 15:48 door Redactie, 4 reacties

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload.

Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld.

Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren.

Reacties (4)
05-11-2019, 17:47 door Anoniem
Het TechCrunch artikel meldt "some — though not all — of the vulnerabilities were recently fixed in the latest Horde webmail version" en verwijst vervolgens naar een bericht uit 2017.
De laatste melding op de [announce] mailinglist is van mei dit jaar.

Ik gok dat er nog helemaal niks gefixed is.
05-11-2019, 22:26 door Anoniem
Opensource... Veiliger sneller met fixen hoor ik altijd.... Maar vaak blijkt het toch anders te zijn. Grote fout, geen communicatie.
05-11-2019, 23:47 door Anoniem
Getest in WHM / cPanel 82 en 84 release maar lijkt of gefixed of nooit gewerkt te hebben voor dit server panel
Melding dat API token ongeldig is nadat de link door gesimuleerd slachtoffer wordt geklikt.
Wordt doorverwezen naar nieuw tab waar je los van moet inloggen en uitkomt op 404 en er geen interactie heeft plaatsgevonden met noodzakelijke betanden, urls voor de exploit.

Enig iemand zelfde ervaring?
06-11-2019, 10:39 door Anoniem
Door Anoniem: Opensource... Veiliger sneller met fixen hoor ik altijd.... Maar vaak blijkt het toch anders te zijn. Grote fout, geen communicatie.
Er wordt altijd gezegd, dat opensource door iedereen bekeken kan worden, maar in de praktijk schijnt niemand dat te doen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.