Kritische Lücke in Roundcube: Mail hackt Server

[nexus]

In der Webmail-Software Roundcube klafft eine kritische Lücke, die es in sich hat: Ein Angreifer kann den Server mit einer Mail kompromittieren.

Quelle: https://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Roundcube-Mail-hackt-Server-3566864.html

 

[XioniX]

Ich versteh die Aufregung nicht, wer nutzt heute noch PHP's mail()-funktion, dazu in Kombination mit dem Steinzeitkrelikt sendmail??? (der Sendmail-Wrapper von Postfix erlaubt diesen Exploit nicht!)

 

[Deleted member 15972]

Eine Lücke bleibt eine Lücke, darum ist die defensive Programmierung ein so wesentliches Thema. Denn häufig stellt sich später heraus, dass es noch andere Vektoren gibt, mit denen man eine Lücke ausnutzen kann.

Das verhindert auch das berühmte Pingpong, wenn verschiedene Applikationen Lücken aufweisen, die dann in Kombination zu sehr starken Exploits werden. Da wird dann nämlich gerne gesagt: "also an uns liegt es nicht, denn wenn X nicht wäre, dann gäbe es den Exploit gar nicht", wobei das dann jeder betreffende Entwickler in der Kette sagen könnte.

Das sehen auch die Entwickler von Roundcube so, weshalb binnen eines Tages ein Patch bereit stand.
Dafür ziehe ich dann auch meinen Hut vor den Entwicklern, denn so muss das - wo immer möglich - bitte sein.