Sicherheitslücke: Roundcube-Version ist hoffnungslos veraltet

  • Zitat von Roundcube


    Irgendwie tut es mir ja Leid, mit meinen ersten Posts hier nur miese Stimmung zu verbreiten, aber ich hab gestaunt als ich die Versionsnummer von Roundcube beim Shared Hosting gesehen habe: Roundcube 1.2.3 wurde am 28. November 2016 veröffentlicht, ist also ganze vier Jahre alt. Das ist eine Ewigkeit in der Softwarewelt, insbesondere wenn es um öffentlich aufrufbare Software geht. Neben einigen kleinen und größeren Features, die deswegen fehlen, heißt das vor allem, dass die hier installierte Version mit Sicherheitslücken behaftet ist. Für den 1.2er-Strang gab es inzwischen 9 weitere Versionen bis auf das aktuelle 1.2.12, wirklich aktuell (sprich inklusive neuer Features) ist aber eigentlich Roundcube 1.4.9.


    Nur mal so ein Auszug an Sicherheitsfixes, die ich die direkt bei Roundcube finden konnte:

    Bzw. die Liste an offiziellen CVE-Einträgen nach dem Release von 1.2.3:
    pasted-from-clipboard.png


    Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?

  • Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?

    Nö, können wir nicht. Denn das ist ein Kundenforum und wir haben keinen Zugriff auf die Netcup Infrastruktur. :saint:


    Da musst du dich schon per Mail oder CCP an den Support wenden. ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Wobei die Versionsnummer alleine noch nichts aussagt. In Debian Stretch ist z.B. auch Version 1.2.3 enthalten. Trotzdem erhält es dort weiterhin (rückportierte) Sicherheitsupdates. Die nach außen hin sichtbare Versionsnummer ändert sich dennoch nicht.


    (Was bei netcup zutrifft weiß ich natürlich nicht. Ich will nur klarstellen, dass man es nicht so verallgemeinern kann.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1
  • Es wird noch besser, unter webmail.netcupmail.de läuft ein weiteres Roundcube. Warum, weiß wohl niemand, außer dass man sich dann auf einmal wundert, warum die Änderungen an den Kontakten (unbewusst beim anderen Webmailer) auf einmal verschwunden sind. Und die Version ist dann einfach mal vom 21. Oktober 2013:

    pasted-from-clipboard.png


    Da kommen dann unter anderem folgende Sicherheitslücken noch hinzu:

    pasted-from-clipboard.png

    • Offizieller Beitrag

    Hi quassy ,


    ich habe zu dieser Sache intern recherchiert und mit Kollegen gesprochen. Vielleicht kurz zum Verständnis, wer wo erreicht werden kann und wo welche Türen zur netcup-Welt zu finden sind: Ich bin Moderatorin im netcup Forum. Meine Kolleg/innen und ich leisten keine Support-Arbeit, weder im Forum noch auf Social Media. Wir können Anfragen nur aufnehmen und an die entsprechende Stelle weiterleiten. Deshalb kann ich dir an dieser Stelle auch nur die gleiche Info geben, wie du schon von meinen Kolleg/innen im Support erhalten haben solltest:


    Ich kann bestätigen, dass wir den Issue kennen. Die verwendete Version von Roundcube kommt vom verwendeten Betriebssystem: https://packages.debian.org/stretch/roundcube

    Auch wenn die Version älter zu sein scheint, betrifft das nur den Funktionsumfang. Die Paketverwalter bleiben i.d.R. bei einer Hauptversion und portieren Sicherheitsfixes von neueren Releases zurück auf diese Hauptversion. Die von uns benutze Version wird von den Debian Entwicklern für die eingesetzte Betriebssystem-Version als sicher eingestuft. Kommt ein Update von OS, kommt auch ein Update von Roundcube. Meine Kollegen haben mir ebenfalls eine Einschätzung gegeben, wonach mit Support für die aktuelle OS-Version und damit auch die Roundcube-Version bis 30.06.2022 zu rechnen ist.

    Bei unsere Webhosting-Pakete sind unsere Kunden mit gewissen unveränderbaren Settings der Funktionen konfrontiert. Das hat den Grund, damit auch für technische Laien bei der Benutzung kein Schaden entstehen kann. Wenn eine individuell gewünschte andere Roundcube-Version eingesetzt werden soll, empfehle ich die eigenverantwortliche Installation und den Betrieb einer eigenen Roundcube-Installation auf dem gebuchten Produkt.


    Wie bereits hier kann ich auch jetzt sagen: ich kann verstehen, wenn diese Antwort nicht in allen Facetten das ist, was man an der Stelle hören möchte. Leider sehe ich von meiner Warte nicht, was ich geben kann, was gebraucht wird. Sonst lasst es mich gerne wissen. Beste Grüße,

    Lucia

  • Vielen Dank für deine Nachforschungen [netcup] Lucia S.!


    Wenn das mit Bezug auf Roundcube 1.2.3 stimmt, wäre ja alles sicherheitstechnisch okay und zumindest der Ursprungspost für mich zufriedenstellend geklärt. Leider hat mir der Support eine andere Antwort gegeben und gesagt die Version 1.2.3 hänge am verwendeten Plesk Onyx 17.8 (die Software zur Verwaltung des Webhostings), bei dem Roundcube aber bereits deutlich neuer ist und auch meines Wissens nach (!) andere alte Versionen nicht nachgepatcht werden, wie bei Linux-Distros wie Debian.


    Und weiterhin bleibt ja die Frage, warum auf webmail.netcupmail.de eine hoffnungslosveraltete, 7 Jahre alte Roundcube-Version läuft. Da kann ich mir beim besten Willen nicht vorstellen, dass irgendeine Distro die noch patcht.

  • Etwas Offtopic, aber... Ich versteh ja, dass man die Adresse webmail.netcupmail.de vermutlich aus Kompatibilitätsgründen (in der Wiki klang es so, als sei das vor Jahren der einzige SSL-Webmailer gewesen) weiter nutzen will, aber warum zeigt das überhaupt auf eine andere Roundcube-Instanz bzw. warum ist dort eine Anmeldung für neue Webhosting-Pakete nicht einfach gesperrt? Es gibt zwei komplett gleich scheinende Dienste, die aber nicht gleich sind und man sich wundert wo die eigenen Daten hin verschwunden sind. So hab ich jetzt einen Haufen Verteilerlisten in 0.9.5 angelegt, die ich nicht zum eigentlich verwendeten 1.2.3 rüberkriege, da wohl nur Einzelkontakte exportiert werden.

  • Anderes OS, deutlich längere LTS Supports.

    Auf die Idee, die Paketlisten bei Ubuntu zu durchsuchen, bin ich zugegebenermaßen nicht gekommen.


    (Und sonst finde ich nirgends eine v0.9.5. Bitte korrigiere mich, wenn ich Blödsinn schreibe.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Trotz aller Versprechen hat sich übrigens nichts geändert, es hat sich niemand vom Support wie versprochen mit einem Update gemeldet und als Kunde weiß man weiterhin nicht, ob hier unsichere Software als Standard-Webmailer für alle Kunden läuft. So hat man natürlich richtig Vertrauen, das Hosting für die eigenen Mails (oder überhaupt irgendwas) zu nutzen...

  • Wenn das Vertrauen nicht da ist, installier dir doch selbst eine aktuelle Version von Roundcube oder was auch immer. Ich hab mich mit Webmailern bisher noch nicht anfreunden können. Ich nutze Thunderbird auf dem Desktop und Notebook und FairEmail auf dem Smartphone. Ich sehe für mich keinen Bedarf an einem Webmailer, der müsste schon ziemlich perfekt sein um eine Chance zu bekommen. Einzige Ausnahme: Unwichtige E-Mail Accounts, die ich alle Schaltjahre mal benutze und mit denen ich deshalb mein Smartphone nicht belasten möchte. Aber dass das Schaltjahr mal ausgerechnet dann eintritt, wenn ich keinen Zugriff auf Desktop und Notebook habe, ist eigentlich extrem unwahrscheinlich.

  • tab verstehe deinen post nicht ganz. Nur weil du roundcube nicht verwendest, heißt das ja nicht, dass es nicht da ist und mit ihm die potentiellen Sicherheitslücken (also im webhosting)

    Es gibt in diesem Diskussionsfaden ja eine zeitnahe Stellungnahme von [netcup] Lucia S. :

    Die von uns benutz[t]e Version wird von den Debian Entwicklern für die eingesetzte Betriebssystem-Version als sicher eingestuft. Kommt ein Update vo[m] OS, kommt auch ein Update von Roundcube. Meine Kollegen haben mir ebenfalls eine Einschätzung gegeben, wonach mit Support für die aktuelle OS-Version und damit auch die Roundcube-Version bis 30.06.2022 zu rechnen ist.

    Bei gegenteiligen Aussagen des Supports (ebenfalls von Netcup-Seite) ist es natürlich sinnvoll, im Rahmen dieses Diskussionsfadens nachzufassen.

    Als Kunde hat man hier (letztendlich nur) die Wahl, der jeweiligen Aussage zu vertrauen und/oder eine alternative Lösung (notfalls bei einem Mitbewerber) ins Auge zu fassen. Und – wohlbegründet, versteht sich! – entsprechend der persönlichen Einschätzung ggf. auch bei der jährlichen Wahl des Webhosters abzustimmen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Hat der Support vor der Antwort bei der Technik nachgefragt? ;)

    Anyway, nachfassen kann man immer, bloss wird hier zumindest kein Kunde eine definitive Antwort geben können. Ausser jemand verifiziert die vermuteten Sicherheitslücken von Roundcube mit einem Exploit, dann ist der Fall klar. Ansonsten bliebe jederzeit die Möglichkeit, die Angelegenheit über das entsprechende (Beschwerde-) Formular zu eskalieren. Immer in der Hoffnung, dass dann intern geprüft wird, welche der widersprüchlichen Aussagen denn nun den Tatsachen entspricht und danach eine definitive Antwort gegeben wird. Das Webhosting sollte davon aber jedenfalls nicht betroffen sein, außer man hackt über den Webmailserver dann auch den Rest der Infrastruktur. Mail liegt ja auf einem anderen Server als der Webspace.

    • Offizieller Beitrag

    Hallo in die Runde,


    Wie ihr wisst, ist das netcup Forum - wie whoami0501 erwähnt - von Kunden für Kunden. Wir Moderator/innen versuchen euch trotzdem an der ein oder anderen Stelle mit Informationen aus der Technik oder dem Service Desk zu versorgen.

    In diesem Falle habe ich erneut in der Technik angefragt: Wir oben erwähnt wird der Webmailer unserer aktuellen Tarife (https://webmail01.netcup.net) vom Betriebssystem-Hersteller mit Updates und so auch mit Sicherheitsupdates, versorgt.

    Bei detaillierten Fragen muss ich euch bitten, euch via CCP direkt an den Service Desk zu wenden.


    Danke für eurer Verständnis!