Beiträge von quassy

    Getan hat sich übrigens nichts. Beide Roundcube-Versionen scheinen noch die gleichen zu sein und es ist unklar ob sie wirklich mit Betriebssystem-Updates bzw. Updates aus dem zugrundeliegenden Plesk (dies hat im wohl eingesetzten 17.8 nämlich auch bereits neuere Versionen) versorgt werden.


    webmail.netcupmail.de ist weiterhin nicht abgeschaltet obwohl dies angeblich „mittelfristig“ geplant war. Das Anbieten von zwei scheinbar gleichen Diensten verwirrt weiterhin die Nutzer, da sie nicht auf die gleichen Datenbanken zugreifen und somit Änderungen zum Beispiel an Kontakten scheinbar einfach verschwinden.

    Trotz aller Versprechen hat sich übrigens nichts geändert, es hat sich niemand vom Support wie versprochen mit einem Update gemeldet und als Kunde weiß man weiterhin nicht, ob hier unsichere Software als Standard-Webmailer für alle Kunden läuft. So hat man natürlich richtig Vertrauen, das Hosting für die eigenen Mails (oder überhaupt irgendwas) zu nutzen...

    Etwas Offtopic, aber... Ich versteh ja, dass man die Adresse webmail.netcupmail.de vermutlich aus Kompatibilitätsgründen (in der Wiki klang es so, als sei das vor Jahren der einzige SSL-Webmailer gewesen) weiter nutzen will, aber warum zeigt das überhaupt auf eine andere Roundcube-Instanz bzw. warum ist dort eine Anmeldung für neue Webhosting-Pakete nicht einfach gesperrt? Es gibt zwei komplett gleich scheinende Dienste, die aber nicht gleich sind und man sich wundert wo die eigenen Daten hin verschwunden sind. So hab ich jetzt einen Haufen Verteilerlisten in 0.9.5 angelegt, die ich nicht zum eigentlich verwendeten 1.2.3 rüberkriege, da wohl nur Einzelkontakte exportiert werden.

    Vielen Dank für deine Nachforschungen [netcup] Lucia S.!


    Wenn das mit Bezug auf Roundcube 1.2.3 stimmt, wäre ja alles sicherheitstechnisch okay und zumindest der Ursprungspost für mich zufriedenstellend geklärt. Leider hat mir der Support eine andere Antwort gegeben und gesagt die Version 1.2.3 hänge am verwendeten Plesk Onyx 17.8 (die Software zur Verwaltung des Webhostings), bei dem Roundcube aber bereits deutlich neuer ist und auch meines Wissens nach (!) andere alte Versionen nicht nachgepatcht werden, wie bei Linux-Distros wie Debian.


    Und weiterhin bleibt ja die Frage, warum auf webmail.netcupmail.de eine hoffnungslosveraltete, 7 Jahre alte Roundcube-Version läuft. Da kann ich mir beim besten Willen nicht vorstellen, dass irgendeine Distro die noch patcht.

    Es wird noch besser, unter webmail.netcupmail.de läuft ein weiteres Roundcube. Warum, weiß wohl niemand, außer dass man sich dann auf einmal wundert, warum die Änderungen an den Kontakten (unbewusst beim anderen Webmailer) auf einmal verschwunden sind. Und die Version ist dann einfach mal vom 21. Oktober 2013:

    pasted-from-clipboard.png


    Da kommen dann unter anderem folgende Sicherheitslücken noch hinzu:

    pasted-from-clipboard.png

    Mir gehts ja darum, eine offizielle Aussage zu Sicherheitspatches zu bekommen. Wenn die Version hier wirklich direkt auf Stretch basiert und entsprechend geupdatet ist, wär ja alles okay. Dass das Updaten außerhalb der bereitgestellten Version immer etwas komplizierter ist und wir deswegen länger auf neue Features warten müssen, wäre dann zwar schade aber auch okay, solange es halt sicher ist.

    Zitat

    Wie bereits im anderen Thread erwähnt... nein, wir können es nicht. Hierzu bitte den Netcup Support direkt kontaktieren. :)

    Ist mir bewusst, jedoch lesen ja hier auch Netcup-Mitarbeiter und sogar -Geschäftsführer mit. Bei so einem kritischen Thema hoffe ich da auf eine Reaktion... Den Support habe ich zu diesem Thema aber bereits auch kontaktiert und bisher keine wirkliche Antwort erhalten, nur das meine Meldung weitergeleitet würde.


    Außerdem heißt dieses Forum „Netcup intern“, mit dem Hinweis hier Verbesserungswünsche äußern zu können. Welchen Sinn würde es machen, diese nur gegenüber anderen Kunden äußern zu können.

    Zitat von Roundcube


    Irgendwie tut es mir ja Leid, mit meinen ersten Posts hier nur miese Stimmung zu verbreiten, aber ich hab gestaunt als ich die Versionsnummer von Roundcube beim Shared Hosting gesehen habe: Roundcube 1.2.3 wurde am 28. November 2016 veröffentlicht, ist also ganze vier Jahre alt. Das ist eine Ewigkeit in der Softwarewelt, insbesondere wenn es um öffentlich aufrufbare Software geht. Neben einigen kleinen und größeren Features, die deswegen fehlen, heißt das vor allem, dass die hier installierte Version mit Sicherheitslücken behaftet ist. Für den 1.2er-Strang gab es inzwischen 9 weitere Versionen bis auf das aktuelle 1.2.12, wirklich aktuell (sprich inklusive neuer Features) ist aber eigentlich Roundcube 1.4.9.


    Nur mal so ein Auszug an Sicherheitsfixes, die ich die direkt bei Roundcube finden konnte:

    Bzw. die Liste an offiziellen CVE-Einträgen nach dem Release von 1.2.3:
    pasted-from-clipboard.png


    Könnt ihr bitte Roundcube auf eine sichere Version updaten, zu allermindest auf 1.2.12?

    Wenn man für das Customer Control Panel bei Netcup sein Passwort vergisst, wird einem – nach dem Klicken eines Links zum Zurücksetzen – ein neu generiertes in Plaintext per Mail zugeschickt. Ich weiß, dass die Passwörter vermutlich gehasht gespeichert werden (hierzu kann ich jedoch keine näheren Infos irgendwo finden), trotzdem sollte ein (vor allem dauerhaftes) Passwort nie in einer Mail stehen (1, 2). Dies ist eine erhebliche Sicherheitslücke und seit Jahrzehnten nicht mehr Stand der Technik! =O Könnt ihr das bitte bitte fixen?