Alert!

Sicherheitslücken: Angreifer können Open-Xchange Code unterjubeln

In Open-Xchange klaffen zwei Schwachstellen, über die Kriminelle im schlimmsten Fall Sessions kapern können. Sicherheitspatches wurden bereits verteilt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge
Netzwerkkabel

(Bild: dpa, Felix Kästle/Illustration)

Von
  • Dennis Schirrmacher

Die Groupware Open-Xchange Server 6 und OX App Suite sind bis einschließlich Version 7.8.0 verwundbar, warnen Sicherheitsforscher von ProSec Networks. Da es sich um eine Webapplikation handelt, sind alle Betriebssysteme bedroht. Über zwei XSS-Lücken können Angreifer aus der Ferne Code auf Systeme schieben und so etwa Daten löschen und Sessions übernehmen.

Über die erste Schwachstelle können Angreifer Code in den Session-Parameter von Download-Anfragen schmuggeln, der dann unter Umständen vom Webbrowser ausgeführt wird. Das soll ohne Authentifizierung möglich sein. Um den Übergriff einzuleiten, müssen Opfer aber auf einen von Kriminellen zugespielten Link klicken.

Anschließend könne ein Angreifer zwar keine OX App Suite spezifischen Daten manipulieren, aber zum Beispiel Cookies stehlen und Umleitungen auf bösartige Hosts realisieren, erläutert ProSec Networks. Die gefixten Versionen 7.6.2-rev50, 7.6.3-rev8, 7.8.0-rev26 sollen das Problem lösen.

Nehmen Angreifer die zweite XSS-Lücke ins Visier, müssen sie ihren Opfern eine manipulierte Datei unterjubeln. Fällt ein Opfer darauf rein und speichert diese im OX Drive, kann Code mit den Rechten des Opfers ausgeführt werden. Über diesen Weg können Angreifer Sessions übernehmen und etwa Daten löschen. Um das zu unterbinden, stehen die abgedichteten Versionen 7.6.2-rev40, 7.6.3-rev7, 7.8.0-rev19 zum Download bereit.

ProSec Networks zufolge werden die Sicherheits-Patches seit Mitte März dieses Jahres ausgerollt. Großkunden wie 1&1 sollen ihre Systeme bereits abgesichert haben. (des)