Sicherheitslücke: Roundcube-Version ist hoffnungslos veraltet

  • Aber das ändert ja nichts, dass webmail01 noch Sicherheitsupdates erhält, wenn auch https://webmail.netcup.de mit einer älteren Roundcube Version noch am Netz hängt

    webmail.netcup: Roundcube Webmail 0.9.5

    webmail01.netcup: Roundcube Webmail 1.2.3


    Für mich im Webhosting 8000 SE beide nutzbar.


    Die LTS Version ist die 1.2.13.

    0.9.5 ist komplett veraltert und es gibt vermutlich keinen wirklichen Grund diese noch parallel am Netz hängen zu lassen, da es Grundsätzlich eine größere Angriffsfläche bietet und gegenüber der ebenso veralteten Version 1.2.3 ja keinen Mehrnutzen bietet

  • Ich finde, dass ja wirklich nichts dagegen spricht eine LTS Version zu verwenden, nur diese nicht zu updaten ist doch grob fahrlässig.

    Die LTS Versionen gibt es ja genau aus dem Grund, dass sie lange supportet werden und dass das System lediglich geupdated werden muss ohne groß alles neu zu machen, nur muss es halt dann geupdated werden sonst bringt eine LTS Version ja rein garnichts.


    Die Version 1.2.3 ist vom 28.12.2016

    Das letzte Update der 1.2er LTS 1.2.13 ist vom 27.12.2020 (also tatsächlich 'relativ' aktuell)


    Die Version 0.9.5 ist vom 21. Oktober 2013 und noch vor der offiziellen 1.0 BETA - das ist nicht grob fahrlässig sondern einfach nur lächerlich.


    selbst wenn webmail01 up-to-date wäre, gibt es ja immer noch die roundcube alpha version 0.9.5 über welche Zugriff zum Mailsystem existiert Oo

  • Das halte ich für ein Gerücht.

    Soweit mir bekannt pflegen die Distros lediglich ihr Basissystem selbst und halten die repositories up-to-date.

    Dass eine Dev-Gruppe einer Distrubition selbst ein externes Paket pflegt habe ich noch nie gehört, dann wäre dies ja wiederum ein Fork des eigenltichen Programmes bzw hätte eine andere Lizensierung und Versionsnummer um dies auch zu kennzeichnen.


    Für mein Verständnis handelt es sich 1:1 um den auf Github verfügbaren Source-Code der Version 0.9.5 wenn angegeben wird:

    Roundcube Webmail 0.9.5

    Copyright © 2005-2013, The Roundcube Dev Team


    Alles andere würde ja absolut keinen Sinn machen und würde letzlich das ganze System undurchsichtbar machen.




    Hier lasse ich mich aber gerne eines besseren belehren, da ich in diesem Thema nicht wirklich tief drinnen bin und entschuldige mich im Voraus wenn ich am Holzweg bin.



    Edit: https://security-tracker.debia…/source-package/roundcube

    Hier sieht man zumindest, dass sich nur das Debian interne Paket Release verändert und grundsätzliche Security Updates übernommen werden

  • Bei z.B. Debian wird die (sichtbare) Versionsnummer jedenfalls nicht angehoben, das ist bei rückportierten Sicherheitspatches eigentlich selten der Fall. Und dort gibt es mindestens 3 Jahre, für viele Pakete über LTS sogar 5 Jahre und für eine handvoll Pakete über ELTS sogar 7 Jahre Updates. Das bezieht sich selbstverständlich nur auf die Version 1.2.x! Andere Distributionen gehen da sogar noch deutlich weiter.


    Die Diskussion mit Version 0.9.x hatten wir auch schon, aber auch dort hieß es, dass sie über irgendeine Distribution noch Updates erhält. Das müssen wir an dieser Stelle einfach mal glauben, das will ich auch gar nicht erneut in Frage stellen. Oder hat jemand nachweislich ein Sicherheitsleck in einer der beiden Roundcube-Installationen gefunden? (XSS o.ä. wäre für den User ja genauso schlimm.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Getan hat sich übrigens nichts. Beide Roundcube-Versionen scheinen noch die gleichen zu sein und es ist unklar ob sie wirklich mit Betriebssystem-Updates bzw. Updates aus dem zugrundeliegenden Plesk (dies hat im wohl eingesetzten 17.8 nämlich auch bereits neuere Versionen) versorgt werden.


    webmail.netcupmail.de ist weiterhin nicht abgeschaltet obwohl dies angeblich „mittelfristig“ geplant war. Das Anbieten von zwei scheinbar gleichen Diensten verwirrt weiterhin die Nutzer, da sie nicht auf die gleichen Datenbanken zugreifen und somit Änderungen zum Beispiel an Kontakten scheinbar einfach verschwinden.

  • Dazwischen hat sich eigentlich schon etwas getan, siehe erster Beitrag: https://forum.netcup.de/anwend…ube-webmail-datenverlust/


    Offenbar wurde dann doch wieder zurückgerudert? Vielleicht kann das [netcup] Claudia H. oder [netcup] Christina R. aufklären?

    quassy  KB19
    Ich hab bei meinen Kollegen nachgefragt: Im Moment wird noch daran gearbeitet, den alten webmailer abzuschalten und webmail01 mit einer aktuellen Roundcube Version auszustatten. Wir hoffen das Ganze noch dieses Jahr abschließen zu können, spätestens aber im 1. Quartal von 2022.

  • Hallo zusammen,



    der Webmailer unter https://webmail.netcupmail.de ist seit gestern Abend abgeschaltet (https://www.netcup-status.de/2…-instanzen-im-webhosting/) und leitet nun auf den "neuen" Webmailer https://webmail01.netcup.net weiter. Die Daten des alten Webmailers wurden mit dem neuen Webmailer zusammengeführt, so dass diesen nun alle Kunden nutzen können.


    Wir arbeiten jetzt daran, webmail01.netcup.net voraussichtlich in den nächsten Wochen auf eine aktuelle Roundcube-Version zu aktualisieren. In jedem Fall kann ich versichern, dass die Roundcube-Instanz trotz der alten Version mit aktuellen backported Sicherheitspatches versehen ist. Unser Ziel ist es nun aber auch, eine neuere Version anzubieten, um euch z.B. von neuen Features profitieren zu lassen. Das Ganze benötigt Planung, Testung und Ausführung und nimmt daher noch ein wenig Zeit in Anspruch. Unsere Webmailer werden von vielen Nutzern verwendet und eine auch nur kurze ungewollte Störung oder einen entsprechenden Ausfall müssen wir daher möglichst verhindern und alle Schritte genauestens planen.

  • Hallo Lars,


    das klingt nachvollziehbar: aus 2 mach 1. Aber könntet ihr vielleicht auch schon jetzt die Funktion zum Anlegen von Identitäten in Roundcube wieder aktivieren. Das ist ein ziemlich praktisches Feature und ich benötige es häufiger.


    Besten Dank vorab und viel Erfolg bei der Migration!

    Sascha

  • Hallo,


    danke für deine Rückmeldung.


    Das Feature ist jetzt aktiv.

  • Hallo Community!


    Eine kurze Anfängerfrage betreffend des Netcup Webmail Systems.


    Ich nutze Webmail vorwiegend Mobil via Handy/Tablet.


    Die Darstellung des Classic Themes ist auf Mobilgeräten wirklich "grauslich" und fast nicht bedienbar da nicht angepasst.


    Mein alter Provider hat Roundcube auf dem Elastic-Theme laufen lassen.


    Ist eine Auswahl hier bei Netcup auch geplant?


    Ich bin technisch nicht so gut drauf mir ein eigenes Roundcube einzurichten. Hab mir Afterlogic Mail Lite angesehen, aber die Unterstützung für Mobil-Geräte wird hier auch nur in der PRO-Version angeboten welche viel zu teuer ist.


    Freu mich auf eine kurze Info ob sich hier etwas tun wird in Richtung "Elastic"


    Vielen Dank

    Christian

  • Ist eine Auswahl hier bei Netcup auch geplant?

    Ich kann auch nur mutmaßen. Aber

    [...] aktuelle Roundcube-Version [...]

    klingt für mich danach, als sei die Version > 1.4. Ab der Version ist das Elastic-Theme standardmäßig bei Roundcube dabei. Ich wüsste keinen Grund, warum netcup dieses Theme wieder manuell rauswerfen sollte.


    Wenn du Hilfe beim Einrichten von Roundcube auf deinem Webhosting brauchst, eröffne doch einen Thread oder meinetwegen kannst du mir auch eine PN schreiben. Das ist wirklich kein Hexenwerk und schnell umgesetzt.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 1 Danke 1
  • Virinum


    Vielen Dank!

    Ja, das wär mir auch das Liebste wenn das Theme einfach dabei wäre.


    Ich habe Roundcube auch soweit fertig installiert bekommen, bin aber dann beim Installationsvorgang bei einer Fehlermeldung "mime_types config".

    steckengeblieben und wusste nicht wie es weitergeht.


    Der Installationsvorgang, Datenbank etc. war alles fertig.


    lg

    Chris