Sicherheitslücke: Roundcube-Version ist hoffnungslos veraltet

  • Roundcube wrote:


    Irgendwie tut es mir ja Leid, mit meinen ersten Posts hier nur miese Stimmung zu verbreiten, aber ich hab gestaunt als ich die Versionsnummer von Roundcube beim Shared Hosting gesehen habe: Roundcube 1.2.3 wurde am 28. November 2016 veröffentlicht, ist also ganze vier Jahre alt. Das ist eine Ewigkeit in der Softwarewelt, insbesondere wenn es um öffentlich aufrufbare Software geht. Neben einigen kleinen und größeren Features, die deswegen fehlen, heißt das vor allem, dass die hier installierte Version mit Sicherheitslücken behaftet ist. Für den 1.2er-Strang gab es inzwischen 9 weitere Versionen bis auf das aktuelle 1.2.12, wirklich aktuell (sprich inklusive neuer Features) ist aber eigentlich Roundcube 1.4.9.


    Nur mal so ein Auszug an Sicherheitsfixes, die ich die direkt bei Roundcube finden konnte:

    Bzw. die Liste an offiziellen CVE-Einträgen nach dem Release von 1.2.3:
    pasted-from-clipboard.png


    Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?

  • Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?

    Nö, können wir nicht. Denn das ist ein Kundenforum und wir haben keinen Zugriff auf die Netcup Infrastruktur. :saint:


    Da musst du dich schon per Mail oder CCP an den Support wenden. ;)

  • Wobei die Versionsnummer alleine noch nichts aussagt. In Debian Stretch ist z.B. auch Version 1.2.3 enthalten. Trotzdem erhält es dort weiterhin (rückportierte) Sicherheitsupdates. Die nach außen hin sichtbare Versionsnummer ändert sich dennoch nicht.


    (Was bei netcup zutrifft weiß ich natürlich nicht. Ich will nur klarstellen, dass man es nicht so verallgemeinern kann.)

  • Es wird noch besser, unter webmail.netcupmail.de läuft ein weiteres Roundcube. Warum, weiß wohl niemand, außer dass man sich dann auf einmal wundert, warum die Änderungen an den Kontakten (unbewusst beim anderen Webmailer) auf einmal verschwunden sind. Und die Version ist dann einfach mal vom 21. Oktober 2013:

    pasted-from-clipboard.png


    Da kommen dann unter anderem folgende Sicherheitslücken noch hinzu:

    pasted-from-clipboard.png

  • Hi quassy ,


    ich habe zu dieser Sache intern recherchiert und mit Kollegen gesprochen. Vielleicht kurz zum Verständnis, wer wo erreicht werden kann und wo welche Türen zur netcup-Welt zu finden sind: Ich bin Moderatorin im netcup Forum. Meine Kolleg/innen und ich leisten keine Support-Arbeit, weder im Forum noch auf Social Media. Wir können Anfragen nur aufnehmen und an die entsprechende Stelle weiterleiten. Deshalb kann ich dir an dieser Stelle auch nur die gleiche Info geben, wie du schon von meinen Kolleg/innen im Support erhalten haben solltest:


    Ich kann bestätigen, dass wir den Issue kennen. Die verwendete Version von Roundcube kommt vom verwendeten Betriebssystem: https://packages.debian.org/stretch/roundcube

    Auch wenn die Version älter zu sein scheint, betrifft das nur den Funktionsumfang. Die Paketverwalter bleiben i.d.R. bei einer Hauptversion und portieren Sicherheitsfixes von neueren Releases zurück auf diese Hauptversion. Die von uns benutze Version wird von den Debian Entwicklern für die eingesetzte Betriebssystem-Version als sicher eingestuft. Kommt ein Update von OS, kommt auch ein Update von Roundcube. Meine Kollegen haben mir ebenfalls eine Einschätzung gegeben, wonach mit Support für die aktuelle OS-Version und damit auch die Roundcube-Version bis 30.06.2022 zu rechnen ist.

    Bei unsere Webhosting-Pakete sind unsere Kunden mit gewissen unveränderbaren Settings der Funktionen konfrontiert. Das hat den Grund, damit auch für technische Laien bei der Benutzung kein Schaden entstehen kann. Wenn eine individuell gewünschte andere Roundcube-Version eingesetzt werden soll, empfehle ich die eigenverantwortliche Installation und den Betrieb einer eigenen Roundcube-Installation auf dem gebuchten Produkt.


    Wie bereits hier kann ich auch jetzt sagen: ich kann verstehen, wenn diese Antwort nicht in allen Facetten das ist, was man an der Stelle hören möchte. Leider sehe ich von meiner Warte nicht, was ich geben kann, was gebraucht wird. Sonst lasst es mich gerne wissen. Beste Grüße,

    Lucia

  • Vielen Dank für deine Nachforschungen [netcup] Lucia S. !


    Wenn das mit Bezug auf Roundcube 1.2.3 stimmt, wäre ja alles sicherheitstechnisch okay und zumindest der Ursprungspost für mich zufriedenstellend geklärt. Leider hat mir der Support eine andere Antwort gegeben und gesagt die Version 1.2.3 hänge am verwendeten Plesk Onyx 17.8 (die Software zur Verwaltung des Webhostings), bei dem Roundcube aber bereits deutlich neuer ist und auch meines Wissens nach (!) andere alte Versionen nicht nachgepatcht werden, wie bei Linux-Distros wie Debian.


    Und weiterhin bleibt ja die Frage, warum auf webmail.netcupmail.de eine hoffnungslosveraltete, 7 Jahre alte Roundcube-Version läuft. Da kann ich mir beim besten Willen nicht vorstellen, dass irgendeine Distro die noch patcht.

  • Etwas Offtopic, aber... Ich versteh ja, dass man die Adresse webmail.netcupmail.de vermutlich aus Kompatibilitätsgründen (in der Wiki klang es so, als sei das vor Jahren der einzige SSL-Webmailer gewesen) weiter nutzen will, aber warum zeigt das überhaupt auf eine andere Roundcube-Instanz bzw. warum ist dort eine Anmeldung für neue Webhosting-Pakete nicht einfach gesperrt? Es gibt zwei komplett gleich scheinende Dienste, die aber nicht gleich sind und man sich wundert wo die eigenen Daten hin verschwunden sind. So hab ich jetzt einen Haufen Verteilerlisten in 0.9.5 angelegt, die ich nicht zum eigentlich verwendeten 1.2.3 rüberkriege, da wohl nur Einzelkontakte exportiert werden.

  • Anderes OS, deutlich längere LTS Supports.

    Auf die Idee, die Paketlisten bei Ubuntu zu durchsuchen, bin ich zugegebenermaßen nicht gekommen.


    (Und sonst finde ich nirgends eine v0.9.5. Bitte korrigiere mich, wenn ich Blödsinn schreibe.)